Wednesday, October 04, 2006

Thoughts on Virtual Trust

I've said before that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no return on security investment (ROSI). This argument appears to have morphed again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of a paper titled Creating Business Through Virtual Trust. A Technorati search will show you ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r comments on this idea. These are mine.

First, I agree with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who say "virtual trust" should not be "virtual" -- it's eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "trust" or it's not. That's not a major point though.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abstract.

Business is concerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of new entities and assets that generate cash. Information security, by contrast, is traditionally concerned with protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se entities and assets. In this paper we examine a perspective which currently exists but is largely dormant in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security field. We maintain that information security can be actively involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of business and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills required to create commercial activity must be added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security professional's intellectual tool set. We also present evidence to demonstrate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of security to create business, which we designate by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "virtual trust", may become a dominant paradigm for how to think about information security.

The authors provide this example:

Apple' iTunes employed Digital Rights Management (DRM) technologies to create a new product and, hence, a new revenue stream. Over 1 billion songs have been downloaded from iTunes. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of iTunes, DRM works by restricting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of CPUs on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .mp3 will play. The songs are also stored in a proprietary, encrypted format. These two factors, at minimum, erect a prohibitive barrier and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that an end user will trade songs. The various security mechanisms used by Apple's iTunes DRM created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virtual Trust necessary to persuade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 music industry that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rights will be protected digitally and be profitable.

I see nothing wrong with this statement. However, security is not making money in this example -- iTunes sales are making money. Imagine a world without DRM. Someone buys a song, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gives it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friends. Apple and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 music companies believe those extra copies are lost sales. What have we returned to? That's right -- a loss prevention model.

"Virtual Trust" is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r name for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Road House security model. Security is not making money for anyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bar Patrick Swayze patrols. Alcohol and food sales are making money.

Security may be a necessary condition for sales and a thousand ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities, but it doesn't make any money. Imagine this exchange between executives:

SecGuy: "Hey boss, I have a great idea for enabling business through virtual trust."

Boss: "What is it?"

SecGuy: "I'm going to secure a business initiative that will make millions!"

Boss: "What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative?"

SecGuy: "Hmm, I don't know. But whatever it is I will secure it and enable business through virtual trust!"

Boss: "Sigh."

You can watch one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of this paper post his thoughts on his blog.

11 comments:

Anonymous said...

Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole point of this paper is to show that security is a business enabler.....

Richard, you write:

"I see nothing wrong with this statement. However, security is not making money in this example -- iTunes sales are making money. Imagine a world without DRM. Someone buys a song, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gives it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friends. Apple and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 music companies believe those extra copies are lost sales. What have we returned to? That's right -- a loss prevention model."

I dealt with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss prevention type of objection as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security is not making money" objection in a full disclosure post here:
http://lists.grok.org.uk/pipermail/full-disclosure/2006-September/049698.html

It applies to your argument. In your example you assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 song on iTunes could be created without DRM. The point is that cannot because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary trust does not exist for it to happen. When you say that "security is not making money" this is not really an objection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper because you are assuming that security is a sufficient condition, which it can never be. (So, I agree with you.) It's a necessary condition for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of an asset. You cannot have iTunes without DRM.

Please reconsider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of security as an enabler. Perhaps you will find merit in it.

Anonymous said...

Quibbling over terminology!

Richard, you write: "First, I agree with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who say "virtual trust" should not be "virtual" -- it's eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "trust" or it's not. That's not a major point though."

So do you also agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement that:
"Electronic commerce" should not be "electronic" -- it's eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "commerce" or it's not.

Perhaps you didn't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper because we write on page 16:

"From an historical perspective, how is such trust between entities established? Entities have used seals, signatures, contracts, deeds, treaties, notarized documents, handshakes and code words, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods, to create trust. These non-electronic
(and/or physical) tokens of trust may be categorized as Traditional Guarantors of Trust, mainly for historical reasons. Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re exists a system -- such as a government or coalition of governments -- to settle disputes should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y arise between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties that made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agreement. In a less abstract context, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. state and federal court systems are examples of independent entities enforcing Traditional Guarantors of Trust.

In contrast to Traditional Guarantors of Trust, we categorize electronic, nonphysical tokens of trust as Virtual Guarantors of Trust. Examples of Virtual Guarantors of Trust include digital certificates, digital signatures, user names and passwords, public and private keys, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital numeric sequence in two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication tokens, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electronic representation of a biological identifier, checksums and hashes.

Therefore, we make a distinction between Traditional Trust (which uses Traditional Guarantors of Trust) and Virtual Trust (which relies upon Virtual Guarantors of Trust)."

Richard Bejtlich said...

Ken,

I'm a security guy. You won't find me arguing that security isn't necessary. You won't find ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security people arguing that security isn't necessary. If your core argument is security is necessary, what's new about that?

As far as a lack of business knowledge on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security professional, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act of providing security for a project doesn't generate revenue -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project generates revenue. You say [s]ecurity enables which in turn generates revenue. You forget to mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project generates revenue, not security.

Anonymous said...

Richard,

What's new is that we show how security mechanisms can be used in a context which are not described as loss prevention. We can describe security as an enabler. We can demonstrate and show how this enablement itself works. This was not done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past to an satisfactory degree. If it were you (as well as Mike Rothman) would be taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper as common knowledge.

When you write that it's "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project generates revenue, not security," again you are expecting security to generate revenue all by itself, a sufficient condition. As mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full-disclosure post I posted above, I never claim that. This is simply a slight change of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security is not making money" (because it's now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project) objection already dealt with above. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term project is too vague. You can clearly have projects that are not meant to generate revenue, but are business oriented. And, we can distinguish between a digital asset and a project.

I would also like to mention that I do not say we should or could discard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss prevention model, only that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r model that may be employed to describe how security functions.

Ken

Anonymous said...

This is clearly a cart-before-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-horse deninitional/semantics issue. I see some value in what Ken Belva says. If a project could not proceed unless security was assured, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is an enabler. If that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "road house effect" so be it. The problem as I see it is that many projects, past and present, have proceeded without adequate security. In fact, almost all businesses out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are guilty of ignorance or "it can never happen to me" thinking. Only since legislation has arrived on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene (privacy, Sox, breach disclosure etc.) have company execs paid more attention to security, and those efforts are to avoid fines, lawsuits and jail time.

That being said, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for a certain level of security investment is identified as necessary to obtain an unacceptable level of risk that one can live with, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that becomes an identifiable sunk cost.

If a second,new security option materializes that delivers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same outcome (or more), but with less expense,cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that is delivering same value for less money, and thus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost saving as compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first option would be a legitimate ROI, would it not?

Anonymous said...

just a question ... wouldn't information security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate world be more analagous to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance industry. Insurance/information security doesn't create revenue on it's own - it is an accepted practice and is budgeted because it provides a reasonable level of assurance that any tupe of loss can be mitigated financially.

I definitely see INFOSEC as more than just loss prevention in terms of benefit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporation, but saying that it can be considered revenue generating for a company is a hard battle to fight when your talking to a CFO. You might argue that without this "insurance" you would lose customers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore reduce profit, but that is not a direct revenue source. I can see saying that by having security packaged around a product it is more trustworthy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore may increase usage. (How many of us would trust our money with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking system if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were not insured by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDIC?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military/government sector this is also partially true but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (not only financial) risks exist so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model is a bit different and not directly relevant to this conversation.

Anonymous said...

Hi Rob,

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support.

I would like to say that sometimes we can even make a stronger claim than simply that "If a project could not proceed unless security was assured, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is an enabler".

I would like to say that some assets or processes (revenue streams) could not exist at all without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security. Take E-Z Pass in New York State and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 east coast. Without aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication (security mechanism), this process / revenue stream could not have been created. See: http://www.nysthruway.gov/ezpass/ezwork.html The E-Z Pass tag is an RFID tag. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are loss protection mechanisms such as a video enforcement system but without aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication E-Z Pass could not exist. Security (aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication) enabled E-Z Pass: without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication mechanism everyone would need to pay in cash.

Can we not say that security is an enabler? Surely when we describe aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication as exampled with E-Z Pass we are not describing it as Swayze's character functioned (one of patrolling, enforcing and correcting) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 film Road House. This is certainly not a game of semantics! And, it's not security as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance or loss prevention model eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r!

To everyone interested, here is a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most relevant resources I created on VT:
http://www.bloginfosec.com/?p=75

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting discussion Richard and Rob. Please keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dialogue.

Ken
http://www.bloginfosec.com
http://www.ftusecurity.com

John Ward said...

Ken,

I agree. Security can be an enabler, but it is not revenue generating, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points of view you are giving are not supportive of your argument.

To support your argument, you need to look at it from a different point of view. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of E-Z Pass, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenue stream in question has existed as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been toll roads. This didn't open up a new revenue stream, nor was security a requirement for collecting tolls. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convenience that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enabler in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of EZ Pass, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security.

Your example of I-Tunes, while in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right ball park, is not focusing on where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action is. The DRM that consumers receive is not an incentive for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to use I-Tunes, in fact it is quite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite. DRM is an incentive for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 music industry to use I-Tunes as a distribution channel, and that is because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in trust created by DRM. That’s producer to market, not market to consumer. DRM is not a valid market to consumer incentive, and does not increase trust. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of producer to market, I will say that security is indeed an enabler, but not for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumer. I would change that example.

Using I-Tunes as an example, digital certificates, user aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, SSL, credit card verification are examples of Trust mechanisms. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se too do not increase revenue stream for I-Tunes. These are overhead costs because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are necessary to ensure trust. While business can be conducted in this scenario without trust, it is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client’s best interest to do so. In this case, security is not an enabler, but loss prevention for I-Tunes and its customers.

That’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical arguments, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't tangible, nor are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matically sound, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot be proven. Given any one persons point of view, it can be proven or disproved. But it is thought provoking.

Anonymous said...

You write: "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of E-Z Pass, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenue stream in question has existed as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been toll roads." Not true. There was always ordering by mail before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telephone. People would say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telephone created a new cash flow, right? In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way, E-Z Pass created a new revenue stream / cash flow instead of paying by cash.

You write: "While business can be conducted in this scenario without trust, it is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client’s best interest to do so." But that's exactly my point. People *assume* cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust here, do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y not? Would you order with your credit card from a website without SSL? No. You don't trust it. So, again we are back to saying that trust is necessary for enablement.

Earlier you write: "DRM is an incentive for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 music industry to use I-Tunes as a distribution channel, and that is because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in trust created by DRM." And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n write, "Using I-Tunes as an example, digital certificates, user aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, SSL, credit card verification are examples of Trust mechanisms. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se too do not increase revenue stream for I-Tunes." Aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust mechanisms through which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distribution channel is created thus helping to create a revenue stream? Aren't you contradicting yourself here?

You write: "That’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical arguments, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't tangible, nor are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matically sound, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot be proven. Given any one persons point of view, it can be proven or disproved. But it is thought provoking." Well, we give real world cases (iTunes, E-Z Pass, Pay-per-click advertising) so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual trust model it is not any more or less cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss prevention model.

John Ward said...

Ken,

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I-tunes model, I am pointing out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are three parties involved, producer, distributor, and consumer. DRM is not an enabler between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distributor, but it is between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 producer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distributor that is creating and additional revenue. Like wise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I-tunes stores SSL certificates and user aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication are enable trust, but are not creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenue. The revenue is generated by demand, security in that example is just a property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business transaction, and not necessary for all transactions.

If we combine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL Certificates, user Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, and DRM into a single, abstract product called security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n yes, it is an enabler and a revenue generator for I-Tunes. But specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate product needs to be associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper party, and it is not a profit maker in all cases.

Anonymous said...

Hi John,

You have raised some excellent points in your replies. It seems to me we are closer in perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n previously thought.

You write: "DRM is not an enabler between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distributor, but it is between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 producer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distributor that is creating and additional revenue." Well, by definition a consumer will not generate revenue. They are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spenders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Consumers will benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DRM trust because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir songs are not pirated and are legal copies. So I agree but this does not counter VT.

You write: "The I-tunes stores SSL certificates and user aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication are enable trust, but are not creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenue." Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "not creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenue" claim assumes that security can be a sufficient condition, which I do not claim it can be. See previous full-disclosure arguments in above posts.

You write: "Security in that example is just a property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business transaction, and not necessary for all transactions." This an interesting claim, but I think this should be thought of in terms of trust. Different levels of trust are needed for different types of transactions. Security and security mechanisms are employed to guarantee that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of trust exists for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level called upon by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction type. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, you might employ weak RFID aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication for E-Z Pass while strong biometric encryption for highly classified government documents. In commerce, normal IM message is often without digital signatures (non-repudiation) but SWIFT messages used to conduct transactions between financial institutions require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

You write: "If we combine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL Certificates, user Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, and DRM into a single, abstract product called security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n yes, it is an enabler and a revenue generator for I-Tunes. But specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate product needs to be associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper party, and it is not a profit maker in all cases." I agree, but two points. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument is specific to iTunes. The E-Z Pass example only uses aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication. Second, I do not claim that security can be a profit maker in all cases. Only that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are real world specific examples that we can show security being employed as an enabler. It is a claim that could not stand ground before.

Virtual Trust is clearly a defensible model. I hope you see some merit in it and can use it pragmatically.