<div dir="ltr">I agree that intelligence agencies have a mission which includes deception, disinformation and the control of public perceptions. However there are circumstances in which I find it more or less likely that they would deceptive the public. Consider three metrics of a intelligence deception operation: deniability, blowback, and utility.<br><br>Deniability: How traceable is this deceptive information to the intelligence agency? For instance If it is leaked through a unknowing proxy such as crowdstrike then the deniability is high.<br><br>Blowback: What would be the resultant damage to the intelligence agency and its leadership if the information was shown to be a deception operation?<br><br>Utility: What benefit does the intelligence agency gain from doing this? What are the costs?<br><br>For instance I find it plausible but somewhat unlikely that the US IC would trick a security research company into releasing a report that attributes a hack to N. Korea when a compelling attribution does not exist. Such a deception would be deniable, have almost no blowback if discovered and would enhance cyber deterrence. Lying to congress is a little worse, but notice that DNI Clapper said &quot;wittingly&quot; as a way to provide himself some deniability.<br><br>In the DNC case, the US IC is specifically making an enemy of not only the POTUS but a large segment of the republican party (very high costs). The utility to deter Russia is minimal because the incoming POTUS is unlikely to support sanctioning Russia over this. This finding is no way deniable as it is an official report on DNI letter head. The blowback if it was discovered to be a deception would be massive. A deception campaign to undermine an incoming POTUS borders on treason, congress would clean house and the intelligence leadership would be completely vilified in eyes of the public. They might even stand trial.<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jan 8, 2017 at 12:40 PM, Ari Trachtenberg <span dir="ltr">&lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Senator Ron Wyden:  &quot;Does the NSA collect any type of data at all on millions or hundreds of millions of Americans?”<div>Director of National Intelligence James R. Clapper: “No, sir.”</div><div>Wyden: “It does not?”</div><div>Clapper: &quot;Not wittingly. There are cases where they could inadvertently, perhaps, collect, but not wittingly.”</div><div><br><div><blockquote type="cite"><span class=""><div>On Jan 6, 2017, at 4:35 PM, Egele, Manuel &lt;<a href="mailto:megele@bu.edu" target="_blank">megele@bu.edu</a>&gt; wrote:</div><br class="m_-4164988352841620331Apple-interchange-newline"></span><div>



<div><span class="">
Sure and north Korea hacked Sony according to FBI director Comey. I guess that stance moved to, the north Koreans hired the Chinese to do it. The IC does not have a history of caring about &quot;the truth&quot;.<br>
<br>
Cheers<br>
Manuel<br>
<br>
</span><div class="gmail_quote"><span class="">On January 6, 2017 10:23:36 PM GMT+01:00, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt; wrote:
</span><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">
<div dir="ltr">&gt;<span style="font-size:12.8px">In my (completely unsolicited) opinion, this is why there is no value making</span>
<div style="font-size:12.8px">assessments such as these public; they should be provided (with evidence) only</div>
<div style="font-size:12.8px">to those with sufficient clearance to see and critique them.<br>
<br>
I agree that this isn&#39;t primary evidence. However I would posit that the value of this assessment is as a signal that the US IC actually believes Russia is behind it. As you said:<br>
<br>
&gt;<span style="font-size:12.8px">If you trust the analyses of the FBI, CIA, and NSA, then this is certainly a strong</span>
<div style="font-size:12.8px">statement;</div>
<br>
If it turns out Russia was not behind it, such assessments would embarrass the people in charge of the US IC and so such a signal assures me that at least the DNI believes it.<br>
<br>
</div>
</div>
</span><div><div class="h5"><div class="gmail_extra"><br>
<div class="gmail_quote">On Fri, Jan 6 , 2017 at 4:11 PM, Ari Trachtenberg <span dir="ltr">
&lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">This is very interesting as a political piece, but it gives no technical evidence
<div>whatsoever (I suspect this is on purpose, to protect “methods and sources”).</div>
<div><br>
</div>
<div>If you trust the analyses of the FBI, CIA, and NSA, then this is certainly a strong</div>
<div>statement; if you don’t trust the analyses, this does nothing to support the</div>
<div>public proclamations.</div>
<div><br>
</div>
<div>In my (completely unsolicited) opinion, this is why there is no value making</div>
<div>assessments such as these public; they should be provided (with evidence) only</div>
<div>to those with sufficient clearance to see and critique them.</div>
<div><br>
</div>
<div>best,</div>
<div><span class="m_-4164988352841620331m_-3276308064309720419Apple-tab-span" style="white-space:pre-wrap"></span>-Ari</div>
<div><br>
</div>
<div><br>
<div>
<div>
<blockquote type="cite"><span>
<div>On Jan 6, 2017, at 3:49 PM, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt; wrote:</div>
<br class="m_-4164988352841620331m_-3276308064309720419Apple-interchange-newline">
</span>
<div>
<div><span>
<div dir="ltr">New DNI report on Russian intentions in hacking DNC:<br>
<a href="https://www.dni.gov/files/documents/ICA_2017_01.pdf" target="_blank">https://www.dni.gov/files/docu<wbr>ments/ICA_2017_01.pdf</a><br>
<br>
&#39;Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution&#39;</div>
</span>
<div>
<div class="m_-4164988352841620331h5">
<div class="gmail_extra"><br>
<div class="gmail_quote">On Wed, Jan 4, 2017 at 2:54 PM, Ari Trachtenberg <span dir="ltr">
&lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
This just goes to show that ... well, people are corruptible, and academics<br>
no less than anyone else.  Complete transparency is no panacea either<br>
(witness the complete uselessness of &quot;privacy notices&quot;, or the major<br>
vulnerabilities with open-source software).<br>
<br>
Seeing as we&#39;re developing a cynicism toward a benevolent monarchy,<br>
perhaps a system of checks and balances will solve all our problems ;-)<br>
<span class="m_-4164988352841620331m_-3276308064309720419HOEnZb m_-4164988352841620331m_-3276308064309720419im"><br>
&gt; On Jan 4, 2017, at 1:51 PM, Egele, Manuel &lt;<a href="mailto:megele@bu.edu" target="_blank">megele@bu.edu</a>&gt; wrote:<br>
&gt;<br>
&gt; On Wed, 2017-01-04 at 13:48 -0500, Ethan Heilman wrote:<br>
</span><span class="m_-4164988352841620331m_-3276308064309720419HOEnZb m_-4164988352841620331m_-3276308064309720419im">&gt;&gt; The Silk road case was also not without problems. For instance the two<br>
&gt;&gt; DEA agents in the Silk Road investigation that stole Bitcoins, ran an<br>
&gt;&gt; extortion racket, sold investigation details to potential suspects and<br>
&gt;&gt; altered evidence. US federal investigation bodies don&#39;t have a great<br>
&gt;&gt; reputation --see FBI collaboration with Boston organised crime and DEA<br>
&gt;&gt; employees selling confidential informant identities to drug cartels.<br>
&gt;<br>
</span><span class="m_-4164988352841620331m_-3276308064309720419HOEnZb m_-4164988352841620331m_-3276308064309720419im">&gt; Sure, but that was purely on the Law Enforcement side. The case with<br>
&gt; CMU-CERT was different as the let&#39;s call it malice, originated from the<br>
&gt; &quot;academic&quot; side of the partnership. You (or at least I as a responsible<br>
&gt; researcher) simply don&#39;t go, break TOR and then don&#39;t tell anyone about<br>
&gt; it.<br>
&gt;<br>
&gt; cheers,<br>
&gt; --manuel<br>
&gt;<br>
</span>
<div class="m_-4164988352841620331m_-3276308064309720419HOEnZb">
<div class="m_-4164988352841620331m_-3276308064309720419h5">&gt;&gt; On Wed, Jan 4, 2017 at 1:12 PM, Manuel Egele &lt;<a href="mailto:megele@bu.edu" target="_blank">megele@bu.edu</a>&gt; wrote:<br>
&gt;&gt;        On Wed, 2017-01-04 at 08:11 -0800, Hristo Stoyanov wrote:<br>
&gt;&gt;&gt; Here&#39;s ESET claims they&#39;ve acquired XAgent source<br>
&gt;&gt;&gt; code:<br>
&gt;&gt;        <a href="http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf" rel="noreferrer" target="_blank">
http://www.welivesecurity.com/<wbr>wp-content/uploads/2016/10/ese<wbr>t-sednit-part-2.pdf</a> (described on the ESET website here:
<a href="https://www.eset.com/us/about/newsroom/press-releases/dissection-of-sednit-espionage-group/" rel="noreferrer" target="_blank">
https://www.eset.com/us/about/<wbr>newsroom/press-releases/dissec<wbr>tion-of-sednit-espionage-group<wbr>/</a>)<br>
&gt;&gt;&gt; Here&#39;s another claim of a third party also having the XAgent<br>
&gt;&gt;        source<br>
&gt;&gt;&gt; code:<br>
&gt;&gt;        <a href="https://medium.com/@jeffreycarr/the-gru-ukraine-artillery-hack-that-may-never-have-happened-820960bbb02d" rel="noreferrer" target="_blank">
https://medium.com/@jeffreycar<wbr>r/the-gru-ukraine-artillery-ha<wbr>ck-that-may-never-have-happene<wbr>d-820960bbb02d</a> (this article references the ESET report in the first link). Kinda shaky, I heard it from a friend of a friend of my aunt type of evidence,
 admittedly.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; This can be post-factum attempt to get plausible deniability<br>
&gt;&gt;        or it<br>
&gt;&gt;&gt; could be someone had XAgent that wasnt APT28. Can&#39;t tell<br>
&gt;&gt;        between<br>
&gt;&gt;&gt; confirmation bias and circumstantial evidence here.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Another thing that I&#39;m missing is how exactly are APT28 as<br>
&gt;&gt;        users of<br>
&gt;&gt;&gt; xagent and this PHP malware tied together. What detail links<br>
&gt;&gt;        the two?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; As for an open and transparent organization that attempts to<br>
&gt;&gt;        build<br>
&gt;&gt;&gt; good cases by acquiring the kind of evidence Ari listed - a<br>
&gt;&gt;        lot of<br>
&gt;&gt;&gt; this seems to require some legal capabilities usually<br>
&gt;&gt;        afforded to<br>
&gt;&gt;&gt; government agencies (hack back, gather court admissable<br>
&gt;&gt;        evidence). The<br>
&gt;&gt;&gt; kind of thing that FBI is supposed to do. Perhaps some form<br>
&gt;&gt;        of<br>
&gt;&gt;&gt; partnership between FBI and academia would be productive.<br>
&gt;&gt;        They dealt<br>
&gt;&gt;&gt; very successfully with Silk road, after all.<br>
&gt;&gt;<br>
&gt;&gt;        I particularly agree with the last paragraph. Also, I&#39;m not<br>
&gt;&gt;        sure that<br>
&gt;&gt;        modeling sth along the lines of CMU-CERT with respect to the<br>
&gt;&gt;        security<br>
&gt;&gt;        community is a good citizen model --- just look at the fallout<br>
&gt;&gt;        that<br>
&gt;&gt;        CMU-CERT&#39;s deanonymying TOR exercise produced.<br>
&gt;&gt;<br>
&gt;&gt;        cheers,<br>
&gt;&gt;        --manuel<br>
&gt;&gt;<br>
&gt;&gt;&gt; Hristo<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; 2017-01-04 7:13 GMT-08:00 Ari Trachtenberg<br>
&gt;&gt;        &lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;:<br>
&gt;&gt;&gt;        Sounds like a perfect role for academia (maybe<br>
&gt;&gt;        patterned after<br>
&gt;&gt;&gt;        CMU&#39;s CERT here at BU).  The biggest problem is, of<br>
&gt;&gt;        course,<br>
&gt;&gt;&gt;        with<br>
&gt;&gt;&gt;        getting reliable data ... perhaps it is possible to<br>
&gt;&gt;        cull data<br>
&gt;&gt;&gt;        from everybody<br>
&gt;&gt;&gt;        and use statistical tests to fish for bias.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;        Regarding Hristo&#39;s question ... I think that the key<br>
&gt;&gt;        word is<br>
&gt;&gt;&gt;        evidence,<br>
&gt;&gt;&gt;        since most things can be faked with enough effort.<br>
&gt;&gt;        Evidence<br>
&gt;&gt;&gt;        could<br>
&gt;&gt;&gt;        include:<br>
&gt;&gt;&gt;        * use, structure, and style reuse of attributed code<br>
&gt;&gt;        or<br>
&gt;&gt;&gt;        vulnerabilities,<br>
&gt;&gt;&gt;                ideally those that are private<br>
&gt;&gt;&gt;        * IP addresses<br>
&gt;&gt;&gt;        * cryptographic keys<br>
&gt;&gt;&gt;        * pictures of hackers and geolocation (as with the<br>
&gt;&gt;        Chinese<br>
&gt;&gt;&gt;        hackers not so long ago)<br>
&gt;&gt;&gt;        * hack back data<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;        best,<br>
&gt;&gt;&gt;                -Ari<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Jan 4, 2017, at 9:03 AM, Ethan Heilman<br>
&gt;&gt;        &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt;<br>
&gt;&gt;&gt;        wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; I worry that this wordfence report makes it look<br>
&gt;&gt;        like only<br>
&gt;&gt;&gt;        that php<br>
&gt;&gt;&gt;&gt; malware was used and that there is no additional<br>
&gt;&gt;        evidence.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; However my understanding is that DNC hackers used<br>
&gt;&gt;        several<br>
&gt;&gt;&gt;        forms of<br>
&gt;&gt;&gt;&gt; persistence including XAgent (according to the<br>
&gt;&gt;        crowdstrike).<br>
&gt;&gt;&gt;        I was<br>
&gt;&gt;&gt;&gt; unable to find any evidence that XAgent was<br>
&gt;&gt;        available for<br>
&gt;&gt;&gt;        use by<br>
&gt;&gt;&gt;&gt; anyone other than SEDNIT/APT28. I would love to<br>
&gt;&gt;        see a report<br>
&gt;&gt;&gt;        on the<br>
&gt;&gt;&gt;&gt; windows variant of the XAgent used in the DNC<br>
&gt;&gt;        hack.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; I believe (correct me if I&#39;m wrong), there is no<br>
&gt;&gt;        other data<br>
&gt;&gt;&gt;        available from the USG. Only (very) pointed<br>
&gt;&gt;        accusations<br>
&gt;&gt;&gt;        against a certain country.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Not sure why the DHS/FBI report goes out of its<br>
&gt;&gt;        way to<br>
&gt;&gt;&gt;        present so<br>
&gt;&gt;&gt;&gt; little evidence. Was the crowdstrike report<br>
&gt;&gt;        incorrect? Did<br>
&gt;&gt;&gt;        they not<br>
&gt;&gt;&gt;&gt; want to step on crowdstrikes toes? Is this the<br>
&gt;&gt;        result of<br>
&gt;&gt;&gt;        over zealous<br>
&gt;&gt;&gt;&gt; secrecy?<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; This issue highlights a critical need for neutral<br>
&gt;&gt;        ICT<br>
&gt;&gt;&gt;        investigative<br>
&gt;&gt;&gt;&gt; bodies that operate not as intelligence agencies<br>
&gt;&gt;        but instead<br>
&gt;&gt;&gt;        work to<br>
&gt;&gt;&gt;&gt; build public cases and publish evidence in a<br>
&gt;&gt;        trustworthy<br>
&gt;&gt;&gt;        open manner.<br>
&gt;&gt;&gt;&gt; This should be the role of the FBI, but clearly<br>
&gt;&gt;        something<br>
&gt;&gt;&gt;        went wrong<br>
&gt;&gt;&gt;&gt; here. Currently private companies like Crowdspike<br>
&gt;&gt;        and<br>
&gt;&gt;&gt;        Fireeye fill<br>
&gt;&gt;&gt;&gt; this role but since they are hired and paid by an<br>
&gt;&gt;        interested<br>
&gt;&gt;&gt;        party<br>
&gt;&gt;&gt;&gt; they are often viewed with skepticism.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Wed, Jan 4, 2017 at 2:47 AM, Hristo Stoyanov<br>
&gt;&gt;&gt;        &lt;<a href="mailto:htstoyanov@gmail.com" target="_blank">htstoyanov@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; Here&#39;s some actual details based on the csv and<br>
&gt;&gt;        xml<br>
&gt;&gt;&gt;        published alongside the<br>
&gt;&gt;&gt;&gt;&gt; written report:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;         <a href="https://www.wordfence.com/blog/2016/12/russia-malware-ip-hack/" rel="noreferrer" target="_blank">https://www.wordfence.com/blo<wbr>g/2016/12/russia-malware-ip-ha<wbr>ck/</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Conclusions: old freely available malware,<br>
&gt;&gt;        incredibly wide<br>
&gt;&gt;&gt;        variety of<br>
&gt;&gt;&gt;&gt;&gt; countries making up the IP addresses given as a<br>
&gt;&gt;        source of<br>
&gt;&gt;&gt;        the attack. Hence,<br>
&gt;&gt;&gt;&gt;&gt; that data is as evidence-free as the written<br>
&gt;&gt;        report. I<br>
&gt;&gt;&gt;        believe (correct me<br>
&gt;&gt;&gt;&gt;&gt; if I&#39;m wrong), there is no other data available<br>
&gt;&gt;        from the<br>
&gt;&gt;&gt;        USG. Only (very)<br>
&gt;&gt;&gt;&gt;&gt; pointed accusations against a certain country.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; However, what would be good technical details<br>
&gt;&gt;        that show<br>
&gt;&gt;&gt;        attribution? Russian<br>
&gt;&gt;&gt;&gt;&gt; documents/emails that order/discuss/report on the<br>
&gt;&gt;        attack<br>
&gt;&gt;&gt;        (perhaps with some<br>
&gt;&gt;&gt;&gt;&gt; signatures :)) would definitely cut it. What<br>
&gt;&gt;        else?<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; - Hristo<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; 2017-01-03 13:10 GMT-08:00 Ari Trachtenberg<br>
&gt;&gt;&gt;        &lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;:<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; Yes, the crowdstrike report is much more<br>
&gt;&gt;        interesting, but,<br>
&gt;&gt;&gt;        at this point,<br>
&gt;&gt;&gt;&gt;&gt;&gt; rather dated.<br>
&gt;&gt;&gt;&gt;&gt;&gt; What it doesn&#39;t include is evidence of<br>
&gt;&gt;        attribution to the<br>
&gt;&gt;&gt;        Russian<br>
&gt;&gt;&gt;&gt;&gt;&gt; government (just<br>
&gt;&gt;&gt;&gt;&gt;&gt; some suggestive information about the slickness<br>
&gt;&gt;        of the<br>
&gt;&gt;&gt;        attack and a belief<br>
&gt;&gt;&gt;&gt;&gt;&gt; of<br>
&gt;&gt;&gt;&gt;&gt;&gt; some link).  Has anyone seen public technical<br>
&gt;&gt;        details in<br>
&gt;&gt;&gt;        this realm?<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; best,<br>
&gt;&gt;&gt;&gt;&gt;&gt;       -Ari<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Jan 3, 2017, at 2:32 PM, Ethan Heilman<br>
&gt;&gt;&gt;        &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; With the exception of the attribution of<br>
&gt;&gt;        individual<br>
&gt;&gt;&gt;        hackers the<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; DHS/FBI report is almost entirely detail free.<br>
&gt;&gt;        The<br>
&gt;&gt;&gt;        crowdstrike report<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; provides many of the missing details:<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;         <a href="https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/" rel="noreferrer" target="_blank">https://www.crowdstrike.com/b<wbr>log/bears-midst-intrusion-demo<wbr>cratic-national-committee/</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; One interesting tidbit in DHS/FBI report was<br>
&gt;&gt;        that it<br>
&gt;&gt;&gt;        blame Slavik of<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Zeus Gameover fame.<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Tue, Jan 3, 2017 at 2:08 PM, Ari<br>
&gt;&gt;        Trachtenberg<br>
&gt;&gt;&gt;        &lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Somehow I&#39;m missing the description ... I just<br>
&gt;&gt;        see<br>
&gt;&gt;&gt;        generic malware<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; information on a popular web shell tool and<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; generic mitigation strategies.  If anything,<br>
&gt;&gt;        the<br>
&gt;&gt;&gt;        suggests a *lack* of<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; an<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; actual smoking gun.<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; best,<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; -Ari<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Dec 29, 2016, at 5:56 PM, Scheffler, Sarah,<br>
&gt;&gt;        Ann<br>
&gt;&gt;&gt;        &lt;<a href="mailto:sscheff@bu.edu" target="_blank">sscheff@bu.edu</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; This is a joint report written by DHS and the<br>
&gt;&gt;        FBI, and<br>
&gt;&gt;&gt;        it&#39;s the first<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; actual<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; decent description I&#39;ve found of the Russian<br>
&gt;&gt;        hacking<br>
&gt;&gt;&gt;        that&#39;s been all<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; over<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; the news, and I figured y&#39;all might be<br>
&gt;&gt;        interested in<br>
&gt;&gt;&gt;        reading it:<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;         <a href="http://www.nytimes.com/interactive/2016/12/29/us/politics/document-Report-on-Russian-Hacking.html" rel="noreferrer" target="_blank">http://www.nytimes.com/intera<wbr>ctive/2016/12/29/us/politics/d<wbr>ocument-Report-on-Russian-Hack<wbr>ing.html</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Happy last-two-and-a-half-days-of-20<wbr>16,<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sarah<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;        ______________________________<wbr>_________________<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;        <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; —<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Boston University<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;        ______________________________<wbr>_________________<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;        <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; —<br>
&gt;&gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;&gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;&gt;&gt;&gt;&gt;&gt; Boston University<br>
&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;        —<br>
&gt;&gt;&gt;        Prof. Ari Trachtenberg<br>
&gt;&gt;&gt;        Electrical and Computer Engineering<br>
&gt;&gt;&gt;        Boston University<br>
&gt;&gt;&gt;        <a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;        ______________________________<wbr>_________________<br>
&gt;&gt;        Busec mailing list<br>
&gt;&gt;        <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;        <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt; ______________________________<wbr>_________________<br>
&gt; Busec mailing list<br>
&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">
http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
<br>
—<br>
Prof. Ari Trachtenberg<br>
Electrical and Computer Engineering<br>
Boston University<br>
<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
<br>
<br>
<br>
<br>
<br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br>
<div><span class="m_-4164988352841620331m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;line-height:normal;border-spacing:0px"><span class="m_-4164988352841620331m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<div style="word-wrap:break-word"><span class="m_-4164988352841620331m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<div style="word-wrap:break-word"><span class="m_-4164988352841620331m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<div style="word-wrap:break-word"><span class="m_-4164988352841620331m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<div style="word-wrap:break-word">---</div>
<div style="word-wrap:break-word">Prof. Ari Trachtenberg            ECE, Boston University<br>
<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>                    <a href="http://people.bu.edu/trachten" target="_blank">http://people.bu.edu/trachte<wbr>n</a></div>
</span></div>
</span></div>
</span></div>
</span></span></div>
<br>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div></div></blockquote>
</div>
<br><span class="">
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.
</span></div>

</div></blockquote></div><br>
<br></div></div></blockquote></div><br></div>