Tuesday, August 09, 2005

Ptacek v. Lindstrom

There's a major battle over vulnerability and exploit disclosure occurring between Thomas Ptacek and Pete Lindstrom. I've linked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first post in each side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate. I don't know which one should be Godzilla or Mechagodzilla, but I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo at left.

I think each side makes some valid points. I agree with Tom that vulnerability disclosure has resulted in elimination of many security problems. I agree with Pete that, in some sense, nothing has really improved, as victims are still being compromised. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end I would lean more towards Tom; clueful people have a better chance of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, and at least knowing what is happening if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir preventative measures fail. Remember that ten years ago cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir was no Snort, no Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real, no Nessus. Fifteen years ago cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no Argus, and no FreeBSD! Would you believe that Tcpdump is over eighteen years old though?

Tom does make an excellent point regarding cryptanalysis: why is it ok to analyze and break crypto algorithms, but supposedly not security software? Could it be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who really need strong crypto, like .gov and .mil types, know that bad guys are always trying to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys' crypto?

If we are to believe Pete, we would not recognize this fact. Because Pete doesn't have first-hand knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of research that occurs "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadows," he is quick to poke fun at people like Adam Shostack who say "We've always known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's lots of exploit code for unannounced vulnerabilities out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re." Pete and friends, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are people who have developed techniques months, and in some cases, years, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appear in mailing lists or Black Hat talks.

With regard to discussions on specific new vulnerabilities and exploits, all I can tell you is "those who say don't know, and those who know can't say."

8 comments:

Anonymous said...

All I have to say is "would *you* show that man your 0day?"

:)

Anonymous said...

Omigosh! Anonymous has a 0day, and he even spelled it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool way, and he's not going to tell me!

Pete Lindstrom

Anonymous said...

"clueful people have a better chance of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks"

The problem, Richard, is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of security vendors should be to create a network environment where one does not have to be "clued" to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that this would be counter productive to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic sustainability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se same companies. If you buy a lock that never breaks, where's your incentive to buy new locks? No security vendor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right mind would market a product that didn't have to be supported.

Anonymous said...

Two nails were hit right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head.

(1) "...those who know can't say."
Like many, I worked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 No Such Agency. Even if you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lucrative TS/SCI Lifestyle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crypies" have a deathgrip on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir techniques and play dumb most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

(2) The post which states, "If you buy a lock that never breaks, where's your incentive to buy new locks?" Hackers need us, and we need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Yin-Yang, you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old story. We (security professionals) have no purpose without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I mean let's face it, we all would be sys admins without our security specialization, or even worse, help desk support!

Anonymous said...

I agree with Pete's point about victims still being compromised...it's a fact, but I don't see how it really has anything to do with vulnerability disclosure, responsible or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise.

As a consultant, I prided myself on having a thorough vulnerability assessment process. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I did was interview people within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client company. One question I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT management is, "who on your staff is designated to receive vendor-issued security alerts?"

Many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial response to this question was (and still is) a blank stare.

Over 5 yrs ago, I did an assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NW3C. I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staff when I was on-site in WV who received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft security bulletins. I was told that no one did...no one was designated to do so, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too complicated and difficult to understand. That evening, back in my hotel room, I had two emails from MS...security bulletins. In less that 30 seconds, I reviewed each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and determined whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y affected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client's infrastructure.

My point is this...regardless of how well-thought-out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability disclosure process may be, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will *always* be people who don't even bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to pay attention. And don't bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins...sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could take it upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to be proactive...because until IT management starts making security skills development a requirement for retention and promotion/bonuses, little is likely to change.

H. Carvey
"Windows Forensics and Incident Recovery"
http://www.windows-ir.com
http://windowsir.blogspot.com

Anonymous said...

"I agree with Tom that vulnerability disclosure has resulted in elimination of many security problems."

It's hard not to agree with Tom, he's smarter than you and I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a fact we're overlooking here: There's no such thing as a one-sided coin. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure coin is "How many security problems have been exacerbated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective vulnerabilities?", and unfortunately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (realistic) answer to that question is more have than haven't. Sad but true, life goes on.

Now we address what arises as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundemental paradox of modern (and historic) Information Security; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dilema presented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that, from an asset protection standpoint, being vulnerable to exploitable software flaws is bad for companies; companies have little incentive to patch holes not being widely exploited (mainly because if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not being widely exploited said company has no knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m); and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that software vendors have very little reason to patch vulnerabilities lest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receipt of external pressure from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients, who will only know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're published, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of exploitation will drastically increase, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vicious circle will start all over again.

Will certain high profile, large market cap, companies with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security policy benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of vulnerability information, and corresponding software patches? Absolutely.

But now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important question that plagues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Full Disclosure/Disclosure/Non-Disclosure argument (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are three legs to this debate, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r anyone wants to try to make it black and white, or not): Is it worth releasing this information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few that can properly roll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fix out with an enterprise patch management system, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10s if not 100s of thousands of users who will be left with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir pants down and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir proverbial dicks flapping in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wind out of ignorance? It all depends, like everything else, which side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fence you're sitting on (Corporate User vs. End User, Security Researcher vs. Hacker, Stock Holder vs. Consumer). Let all things be relative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originating point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observer's observation. Einstein was indeed a genius.

Leaving end users high and dry, in favor of statisifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paranoia of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 50 companies that want to be assured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't vulnerable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BotW (Bug of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Week), while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y remain vulnerable to several which won't make BotW for several weeks, months, hell maybe years, is in my eyes not only irresponsible, but highly, gratuitously, and self-servingly unethical.

But in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immortal words of Dennis Miller, that's just my opinion, I could be wrong.

Anonymous said...

(See Above Comment)

Although I do have a feeling that Tom was referring more to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "outting" of specific exploitation techniques, and thus having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result be a reduction in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall number of instances of those specific types of vulnerabilities, which is definitely 100% a Good Thing(tm). You just can't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits, without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drawbacks that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process creates. And I'm not so sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ends justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means in this case.

tweedledeetweedledum said...
This comment has been removed by a blog administrator.