Wednesday, October 24, 2007

Microsoft, Explain Threats to Microsoft

The Microsoft Malware Protection Center recently published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir third Security Intelligence Report. The front page of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report says

An in-depth perspective on software vulnerabilities and exploits, malicious code threats, and potentially unwanted software, focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2007

Inside it continues:

This report provides an in-depth perspective on software vulnerabilities (both in Microsoft software and third-party software), software exploits (for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a related MSRC bulletin), malicious software, and potentially unwanted software. The lists below summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key points from each section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report...

The number of disclosures of new software vulnerabilities across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry continues to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thousands...


Contrast that proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word vulnerabilities in those excerpts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quotes I noted in Someone Please Explain Threats to Microsoft:

As you go about filling in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat model threat list, it’s important to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of entering threats and mitigations. While it can be easy to find threats, it is important to realize that all threats have real-world consequences for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development team...

When we’re threat modeling, we should ensure that we’ve identified as many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential threats as possible (even if you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re trivial). At a minimum, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats we list that we chose to ignore will remain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document to provide guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.


In that excerpt, all uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat should be replaced with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word vulnerability, with possible exception of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat modeling." In reality it should be "attack modeling," but in all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases Microsoft is clearly talking about discovering holes/flaws/problems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software, i.e., vulnerabilities.

So, it seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big security picture -- those who write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Security Intelligence Reports -- know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between a threat and a vulnerability. The developers who focus on Microsoft's software -- those exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Security Development Lifecycle -- are using "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be saying "vulnerability."

It would be good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIR people to talk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDLC people. Without that coordination Microsoft's developers will continue to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problem incorrectly, and by extension, so will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers who look to Microsoft for intellectual guidance.

On a related note, I was happy to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SIR available as a .pdf.

8 comments:

Anonymous said...

I hope I live long enough to see how crotchety you are as an old man, Rich.

:^)

dre said...

Howard says (in The Security Development Lifecycle: SDL: A Process for Developing Demonstrably More Secure Software), "The meaning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat is much debated. In this book, a threat is defined as an attacker's objective. To some, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker or adversary; we refer to this entity as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat agent. These definitions are used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Criteria"

Richard Bejtlich said...

dre,

This is his attempt to sort of acknowledge incorrect use in earlier books but not really change his terminology. I address that direct quote in my review of SDLC.

Anonymous said...

Gary McGraw and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cigital crew are just about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only people using that particular definition of threat. Realistically, that's a pretty small (but very vocal) segment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Now, it's perfectly reasonable for you to choose to standardize on McGraw's terminology. However, you come across like a misguided fanatic when you hammer away at Microsoft as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any broad-scale acceptance of your preferred terminology.

Richard Bejtlich said...

Anonymous,

Pull your head out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software development sand. You'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a bigger security world out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The digital scene thinks it can sweep away decades or more of security terminology in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir warped usage. Kudos to Gary and crew for adopting and explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms correctly.

Anonymous said...

If your position is as you state you should provide citations from a few corroborating sources. That should be pretty easy if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really are decades of accepted terminology, and it's certainly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more helpful response.

Richard Bejtlich said...

Anonymous, read previous blog posts. I don't feel compelled to restate my position and supporting documentation every time this issue appears.

Jim Yuill said...

Richard has done a great job of showing how MS is redefining standard terminology. MS folks are inconsistent in using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own re-definitions, as it's so hard to co-ordinate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feat of redefining standard terms. Imagine if General Motors tried to rename hoods and trunks as doors...

It’s hard to imagine why someone would want to redefine standard terms. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of it, it seems like great gall--very arrogant and foolish of MS to even attempt co-opting our language. However, I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r motive. When intelligent people inexplicably insist on doing nonsensical things, it can be useful to look for hidden motives.

Richard has anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog post about SDL terminology, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, an anonymous commenter notes that MS may be avoiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “V” word (vulnerability) for PR reasons. Also, might MS’s corporate lawyers have banned MS’s use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “V” word, as it could be used against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in law suits? Imagine a shake-down law-suit in which MS is compelled to admit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ship code with known security “vulnerabilities”, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury is clueless about computer security. Would it help MS’s legal-defense if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y only have to admit to shipping code with known “threats”.

BTW: on page 102 of SDL, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir definition of “threat” is also used in Common Criteria (CC). However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s been lots of criticism published about CC--even by MS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDL book itself (page 22f)!

Jim