Monday, July 25, 2005

Thoughts on TippingPoint Zero Day Initiative Program

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accursed Slashdot I learned of Tipping Point's Zero Day Initiative program. (Incidentally, I just figured out that Slashdot is like Saturday Night Live: we all remember it being a lot better years ago, it stinks now, yet we still watch.) According to this CNet story by Joris Evers, which cites TippingPoint's rationale for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program:

"'We want to reward and encourage independent security research, promote and ensure responsible disclosure of vulnerabilities and provide 3Com customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's best security protection,' David Endler, director of security research at TippingPoint, said in an interview."

This program is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iDEFENSE Vulnerability Contributor Program launched in 2002 amidst much fanfare. This April 2003 interview with iDEFENSE VPC Manager Sunil James is also enlightening. Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VCP is a retention reward program that paid a $3,000 bonus to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Danish CIRT and $1,000 to l0rd_yup for vulnerabilities reported to iDEFENSE in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first quarter of 2005. Some iDEFENSE advisories give anonymous credit to vulnerability discovers, like Sophos Anti-Virus Zip File Handling DoS Vulnerability, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sources, like Lord Yup in Microsoft Word 2000 and Word 2002 Font Parsing Buffer Overflow Vulnerability. In some cases iDEFENSE Labs finds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole, as in Adobe Acrobat Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability.

Thus far I have not heard much discussion about iDEFENSE's program, although it seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payout to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability researchers is dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value earned by iDEFENSE. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise I have not heard too many condemnations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pay-for-bugs program and I have not heard of anyone suing iDEFENSE over a vulnerability produced through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir VCP.

Looking at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TippingPoint Zero Day Initiative, I found this item in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FAQ amusing:

"Since 3Com and TippingPoint customers are protected prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability?

In order to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secrecy of a researcher's vulnerability discovery until a product vendor can develop a patch, 3Com and TippingPoint customers are only provided a generic description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter provided but are not informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. Once details are made public in coordination with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product vendor, TippingPoint's Digital Vaccine® service for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intrusion Prevention System provides an updated description so that customers can identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate filters that were protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, 3Com and TippingPoint will be protected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in advance, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not be able to tell from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is."

Anyone who reads this blog knows I think this sort of "protection through secrecy" is ridiculous. If I can't figure out how a product is making its decision to "protect" me, I will try to avoid it. I certainly wouldn't want it blocking traffic on my behalf. What about anti-virus software, you ask? I don't run it on my servers!

This is also funny:

"Why are you giving advance notice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability information you've bought to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vendors, including competitors?

We are sharing with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vendors in an effort to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most good with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information we have acquired. We feel we can still maintain a competitive advantage with respect to our customers while facilitating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection of a customer base larger than our own.

What types of security vendors are eligible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced notice?

In order to qualify for advanced notice, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security vendors must be in a position to remediate or provide protection of vulnerabilities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir solution, while not revealing details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability itself to customers. The security vendor's product must also be resistant to discovery of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability through trivial reverse engineering. An example of such a vendor would be an Intrusion Prevention System, Intrusion Detection System, Vulnerability Scanner or Vulnerability Management System vendor."

I am eager to see what vendors can live up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. Snort rules won't, and neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r will Nessus NASL scripts.

I am uneasy about programs like this. Consider modifying Mr. Endler's statement in this manner:

"We want to reward and encourage independent security research, promote and ensure responsible creation of viruses and provide our customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's best security protection."

A virus is malware launched by a threat; it's not a vulnerability. Publication of a vulnerability does not explicitly mean publication of new code to be used by threats. Still, it's not that difficult to move from vulnerability disclosure to exploit creation.

TippingPoint is basically paying researchers to justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor's existence. No vulnerabilities = no need to buy a TippingPoint IPS. More vulnerabilities means more opportunities for threats to craft exploit code, and that justifies buying more IPSs.

How is this different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mozilla Bug Bounty program, you might ask? When Mozilla pays researchers to report vulnerabilities in Mozilla code, Mozilla is effectively outsourcing its security quality assurance program. This is done to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software released by Mozilla. When TippingPoint pays researchers to report vulnerabilities in anyone's software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n keeps those vulnerabilities to itself (followed by limited disclosure), TippingPoint is justifying its product's existence.

You might also wonder what I think of Microsoft's $250,000 bonus to those who expose virus writers. I have no problems with such a program, and I see it as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to remove threats from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets.

5 comments:

Anonymous said...

Also funny:

"Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 altruistic aim of helping to secure a broader user base, 3Com later provides this vulnerability information confidentially to security vendors (including competitors)"

I've written about this furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on weblog.

Anonymous said...

pretty cool graphic though!
damn, site security is ruining my geek humor.. Your HTML cannot be accepted: Tag is not allowed: >useless comment<

Anonymous said...

Tipping Point is leading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "IPS" market by large margins, I don't think it's is a negative impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company. It's interesting how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll pay a American citizin with a W-9, that doesn't really keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m too anonymous.

Anonymous said...

The most direct article that exposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues with this is done in a purile manner, by Phrack.

http://www.phrack.org/unoffical/p62/p62-0x06.txt

Anonymous said...
This comment has been removed by a blog administrator.