Saturday, August 17, 2019

Rashomon of disclosure

In a world of changing technology, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are few constants - but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one constant in security, it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rhythmic flare-up of discussions about disclosure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social-media-du-jour (mailing lists in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, now mostly Twitter and Facebook).

Many people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry have wrestled with, and contributed to, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussions, norms, and modes of operation - I would particularly like to highlight contributions by Katie Moussouris and Art Manion, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many that would deserve mentioning whose true impact is unknown outside a small circle. In all discussions of disclosure, it is important to keep in mind that many smart people have struggled with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. There may not be easy answers.

In this blog post, I would like to highlight a few aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion that are important to me personally - aspects which influenced my thinking, and which are underappreciated in my view.

I have been on many (but not most) sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table during my career:
  • On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 independent bug-finder who reports to a vendor and who is subsequently threatened.
  • On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 independent bug-finder that decided reporting is not worth my time.
  • On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of building and selling a security appliance that handles malicious input and that needs to be built in a way that we do not add net exposure to our clients.
  • On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of building and selling a software that clients install.
  • On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of Google Project Zero, which tries to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry to improve its practices and rectify some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad incentives.
The sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table that are notably missing here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle- or senior-level manager that makes his living shipping software on a tight deadline and who is in competition for features, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security researcher directly selling bugs to governments. I will return to this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last section.

I expect almost every reader will find something to vehemently disagree with. This is expected, and to some extent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of this blog post.

The simplistic view of reporting vulnerabilities to vendors

I will quickly describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplistic view of vulnerability reporting / patching. It is commonly brought up in discussions, especially by folks that have not wrestled with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic for long. The gist of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument is:
  1. Prior to publishing a vulnerability, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is unknown except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finder and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software vendor.
  2. Very few, if any, people are at risk while we are in this state.
  3. Publishing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor publishing a patch puts many people at risk (because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can now be hacked). This should hence not happen.
Variants of this argument are used to claim that no researcher should publish vulnerability information before patches are available, or that no researcher should publish information until patches are applied, or that no researcher should publish information that is helpful for building exploits.

This argument, at first glance, is simple, plausible, and wrong. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, I will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various ways in which this view is flawed.

The Zardoz experience

For those that joined Cybersecurity in recent years: Zardoz was a mailing list on which "whitehats" discussed and shared security vulnerabilities with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be fixed without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "public" knowing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The result of this activity was: Every hacker and active intelligence shop at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time wanted to have access to this mailing list (because it would regularly contain important new attacks). They generally succeeded. Quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wikipedia entry on Zardoz:
On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circulation of Zardoz postings among computer hackers was an open secret, mocked openly in a famous Phrack parody of an IRC channel populated by notable security experts.[3]
History shows, again and again, that small groups of people that share vulnerability information ahead of time always have at least one member compromised; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are always attackers that read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication.

It is reasonably safe to assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same holds for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email addresses to which security vulnerabilities are reported. These are high-value targets, and getting access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (even if it means physical tampering or HUMINT) is so useful that well-funded persistent adversaries need to  be assumed to have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir job, after all.

(Zardoz isn't unique. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples are unfortunately less-well documented. Mail spools of internal mailing lists of various CERTs were circulated in hobbyist hacker circles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 2000s, and it is safe to assume that any dedicated intelligence agency today can reproduce that level of access.)

The fallacy of uniform risk

Risk is not uniformly distributed throughout society. Some people are more at-risk than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs: Dissidents in oppressive countries, holders of large quantities of cryptocurrency, people who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work is journalism when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work is espionage, political stakeholders and negotiators. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m face quite severe consequences from getting hacked, ranging from mild discomfort to death.

The majority of users in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world are much less at risk: The worst-case scenario for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, in terms of getting hacked, is inconvenience and a moderate amount of financial loss.

This means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 naive "counting" of victims in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original argument makes a false assumption:  Everybody has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same "things to lose" by getting hacked. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case: Some people have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir life and liberty at risk, but most people don't. For those that do not, it may actually be rational behavior to not update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir devices immediately, or to generally not care much about security - why take precautions against an event that you think is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unlikely or largely not damaging to you?

For those at risk, though, it is often rational to be paranoid - to avoid using technology entirely for a while, to keep things patched, and to invest time and resources into keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir things secure.

Any discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pros and cons of disclosure should take into account that risk profiles vary drastically. Taking this argument to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extreme, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question arises: "Is it OK to put 100m people at risk of inconvenience if I can reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of death for 5 people?"

I do not have an answer for this sort of calculation, and given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uncertainty of all probabilities and data points in this, I am unsure whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one exists.

Forgetting about patch diffing

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons that our industry sometimes (and to my surprise) forgets is: Public availability of a patch is, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker perspective, not much different than a detailed analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability including a vulnerability trigger.

There used to be a cottage industry of folks that analyze patches and write reports on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fixed bugs are, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were fixed correctly, and how to trigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. They usually operated away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spotlight, but that does not mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not exist - many were our customers.

People in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive business can build infrastructure that helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m rapidly analyze patches and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Defenders, mostly due to organizational and not technical reasons, can not do this. This means that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of a full discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, defenders will be at a significant information disadvantage compared to attackers.

Without understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, networks and hosts cannot be monitored for its exploitation, and mitigations-ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-than-patching cannot be applied.

Professional attackers, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, will have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about a vulnerability not long after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y obtain a patch (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did not have it beforehand already).

The fallacy of "do not publish triggers"

When publishing about a vulnerability, should "triggers", small pieces of data that hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability and crash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, be published?

Yes, building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first trigger is often time-consuming for an attacker. Why would we save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time?

Well, because without a public trigger for a vulnerability, at least, it is extremely hard for defensive staff to determine whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a particular product in use may contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug in question. A prime example of this CVE-2012-6706: Everybody assumed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is only present on Sophos; no public PoC was provided. So nobody realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug lived in upstream Unrar, and it wasn't until 2017 that it got re-discovered and fixed. 5 years of extra time for a bug because no trigger was published.

If you have an Antivirus Gateway running somewhere, or any piece of legacy software, you need at least a trigger to check whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable software. If you are attempting at building any form of custom detection for an attack, you also need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trigger.

The fallacy of "do not publish exploits"

Now, should exploits be published? Clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer should be no?

In my experience, even large organizations with mature security teams and programs often struggle to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changing nature of attacks. Many people that are now in management positions cut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir teeth on (from today's perspective) relatively simple bugs, and have not fully understood or appreciated how exploitation has changed.

In general, defenders are almost always at an information disadvantage: Attackers will not tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, and gleefully applaud and encourage when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender gets a wrong idea in his head about what to do. Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 declassified cryptolog_126.pdf Eurocrypt trip report to get a good impression of how this works.
Three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last four sessions were of no value whatever, and indeed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was almost nothing at Eurocrypt to interest us (this is good news!). The scholarship was actually extremely good; it's just that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directions which external cryptologic researchers have taken are remarkably far from our own lines of interest. 
Defense has many resources, but many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are misapplied: Mitigations performed that do not hold up to an attacker slightly changing strategies, products bought that do not change an attacker calculus or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit economics, etc.

A nontrivial part of this misapplication is information scarcity about real exploits. My personal view is that Project Zero's exploit write-ups, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many great write-ups by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pwn2Own competitors and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security research teams (Pangu and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Chinese teams come to mind) about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual internal mechanisms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir exploits is invaluable to transmit understanding of actual attacks to defenders, and are necessary to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry stay on course.

Real exploits can be studied, understood, and potentially used by skilled defenders for both mitigation and detection, and to test ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defensive measures.

The reality of software shipping and prioritization

Companies that sell software make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir money by shipping new features. Managers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations get promoted for shipping said features and reaching more customers. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y succeed in doing so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir career prospects are bright, and by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security flaws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly-shipped features become evident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are four steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 career ladder and two companies away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y created.

The true cost of attack surface is not properly accounted for in modern software development (even if you have an SDLC); largely because this cost is shouldered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers that run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software - and even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, only by a select few that have unusual risk profiles.

A sober look at current incentive structures in software development shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is next to zero incentive for a team that ships a product to invest in security on a 4-5 year horizon. Everybody perceives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to be in breakneck competition, and velocity is prioritized. This includes bug reports: The entire reason for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90-day deadline that Project Zero enforced was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that without a hard deadline, software vendors would routinely not prioritize fixing an obvious defect, because ... why would you distract yourself with doing it if you could be shipping features instead?

The only disincentive to adding new attack surface cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days is getting heckled on a blog post or in a Blackhat talk. Has any manager in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software industry ever had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir career damaged by shipping particularly broken software and incurring risks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users? I know of precisely zero examples. If you know of one, please reach out, I would be extremely interested to learn more.

The tech industry as risk-taker on behalf of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs

(I will use Microsoft as an example in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following paragraphs, but you can replace it with Apple or Google/Android with only minor changes. The tech giants are quite similar in this.)

Microsoft has made 248bn$+ in profits since 2005. In no year did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y make less than 1bn$ in profits per month. Profits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decade leading up to 2005 were lower, and I could not find numbers, but even in 2000 MS was raking in more than a billion in profits a quarter. And part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se profits were made by incurring risks on behalf of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers - by making decisions to not properly sandbox cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMB components, by under-staffing security, by not deprecating and migrating customers away from insecure protocols.
The software product industry (including mobile phone makers) has reaped excess profits for decades by selling risky products and offloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients and society. My analogy is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y constructed financial products that yield a certain amount of excess return but blow up disastrously under certain geopolitical events, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sold some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excess return and *all* of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk to a third party that is not informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk.

Any industry that can make profits while offloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks will incur excess risks, and regulation is required to make sure that those that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profits also carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks. Due to historical accidents (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that software falls under copyright) and unwillingness to regulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 golden goose, we have allowed 30 years of societal-risk-buildup, largely driven by excess profits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software and tech industry.

Now that MS (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech industry) has sold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of society a bunch of toxic paper that blows up in case of some geopolitical tail events (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resurgence of great-power competition), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really do not wish to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame for it - after all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be regulation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may have to actually shoulder some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are incurring.

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right solution to such a conundrum? Lobbying, and a concerted PR effort to deflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame. Security researchers, 0-day vendors, and people that happen to sell tools that could be useful to 0-day vendors are much more convenient targets than admitting: All this risk that is surfaced by security research and 0-day vendors is originally created for excess profit by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech industry.

FWIW, it is rational for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to do so, but I disagree that we should let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m do it :-). 

A right to know

My personal view on disclosure is influenced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view that consumers have a right to get all available information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 known risks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use. If an internal Tobacco industry study showed that smoking may cause cancer, that should have been public from day 1, including all data.

Likewise, consumers of software products should have access to all known information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. My personal view is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90 days deadlines that are accepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days are an attempt at balancing competing interests (availability of patches vs. telling users about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insecurity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir device).

Delaying much furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or withholding data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer is - in my personal opinion - a form of deceit; my personal opinion is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech industry should be much more aggressive in warning users that under current engineering practices, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir personal data is never fully safe in any consumer-level device. Individual bug chains may cost a million dollars now, but that million dollars is amortized over a large number of targets, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost-per-individual compromise is reasonably low.

I admit that my view (giving users all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can (at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory) make good decisions using all available information) is a philosophical one: I believe that withholding available information that may alter someone's decision is a form of deceit, and that consent (even in business relationships) requires transparency with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people may have different philosophies.

Rashomon, or how opinions are driven by career incentives

The movie Rashomon that gave this blog post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title is a beautiful black-and-white movie from 1950, directed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous Akira Kurosawa. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wikipedia page:
The film is known for a plot device that involves various characters providing subjective, alternative, self-serving, and contradictory versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same incident.
If you haven't seen it, I greatly recommend watching it.

The reason why I gave this blog post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title "Rashomon of disclosure" is to emphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. There are many facets, and my views are strongly influenced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table I have been on - and those I haven't been on.

Everybody participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion has some underlying interests and/or philosophical views that influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir argument.

Software vendors do not want to face up to generating excess profits by offloading risk to society. 0-day vendors do not want to face up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a fraction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients kills people (sometimes entirely innocent ones), or at least break laws in some jurisdiction. Security researchers want to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir research, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail to significantly impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broken economics of security.

Everybody wants to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hero of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own story, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own account of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are.

None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions surrounding vulnerability disclosure, vulnerability discovery, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade-offs involved in it are easy. People that claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an easy and obvious path to go about security vulnerability disclosure have eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r not thought about it very hard, or have sufficiently strong incentives to self-delude that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one true way.

After 20+ years of seeing this debate go to and fro, my request to everybody is: When you explain to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world why you are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hero of your story, take a moment to reflect on alternative narratives, and make an effort to recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story is probably not that simple.

No comments: