Showing posts with label open source. Show all posts
Showing posts with label open source. Show all posts

Thursday, March 23, 2017

Five Reasons I Want China Running Its Own Software

Periodically I read about efforts by China, or Russia, or North Korea, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries to replace American software with indigenous or semi-indigenous alternatives. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reply via Twitter that I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea, with a short reason why. This post will list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top five reasons why I want China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r likely targets of American foreign intelligence collection to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own software.

1. Many (most?) non-US software companies write lousy code. The US is by no means perfect, but our developers and processes generally appear to be superior to foreign indigenous efforts. Cisco vs Huawei is a good example. Cisco has plenty of problems, but it has processes in place to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, plus secure code development practices. Lousy indigenous code means it is easier for American intelligence agencies to penetrate foreign targets. (An example of a foreign country that excels in writing code is Israel, but thankfully it is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of priority target like China, Russia, or North Korea.)

2. Many (most?) non-US enterprises are 5-10 years behind US security practices. Even if a foreign target runs decent native code, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT processes maintaining that code are lagging compared to American counterparts. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has not solved this problem by any stretch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagination. However, relatively speaking, American inventory management, patch management, and security operations have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge over foreign intelligence targets. Because non-US enterprises running indigenous code will not necessarily be able to benefit from American expertise (as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were running American code), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se deficiencies will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m easier targets for foreign exploitation.

3. Foreign targets running foreign code is win-win for American intel and enterprises. The current vulnerability equities process (VEP) puts American intelligence agencies in a quandary. The IC develops a zero-day exploit for a vulnerability, say for use against Cisco routers. American and Chinese organizations use Cisco routers. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC sit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in order to maintain access to foreign targets, or should it release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability to Cisco to enable patching and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby protect American and foreign systems?

This dilemma disappears in a world where foreign targets run indigenous software. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identifies a vulnerability in Cisco software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of its targets run non-Cisco software, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC is more likely (or should be pushed to be more likely) to assist with patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable software. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC continues to exploit Huawei or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r products at its leisure.

4. Writing and running indigenous code is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest way to improve. When foreign countries essentially outsource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT to vendors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become program managers. They lose or never develop any ability to write and run quality software. Writing and running your own code will enroll foreign organizations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security school of hard knocks. American intel will have a field day for 3-5 years against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se targets, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y flail around in a perpetual state of compromise. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper native resources and attention, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes. They will write and run better software. Now, this means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will become harder targets for American intel, but American intel will retain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of point 3.

5. Trustworthy indigenous code will promote international stability. Countries like China feel especially vulnerable to American exploitation. They have every reason to be scared. They run code written by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations. They don't patch it or manage it well. Their security operations stink. The American intel community could initiate a complete moratorium on hacking China, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese would still be ravaged by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries or criminal hackers, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while likely blaming American intel. They would not be able to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. This makes for a very unstable situation.

Therefore, countries like China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are going down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indigenous software path. They understand that software, not oil as Daniel Yergen once wrote, is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "commanding heights" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy. Pursuing this course will subject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se countries to many years of pain. However, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end I believe it will yield a more stable situation. These countries should begin to perceive that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are less vulnerable. They will experience cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own vulnerability equity process. They will be more aware and less paranoid.

In this respect, indigenous software is a win for global politics. The losers, of course, are global software companies. Foreign countries will continue to make short-term deals to suck intellectual property and expertise from American software companies, before discarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of Al Gore's information highway.

One final point -- a way foreign companies could jump-start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir indigenous efforts would be to leverage open source software. I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would necessarily honor licenses which require sharing improvements with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source community. However, open source would give foreign organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need and access to expertise that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lack. Microsoft's shared source and similar programs were a step in this direction, but I suggest foreign organizations adopt open source instead.

Now, widespread open source adoption by foreign intelligence targets would erode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantages for American intel that I explained in point 3. I'm betting that foreign leaders are likely similar to Americans in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to not trust open source, and prefer to roll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own and hold vendors accountable. Therefore I'm not that worried, from an American intel perspective, about point 3 being vastly eroded by widespread foreign open source adoption.

TeePublic is running a sale until midnight ET Thursday! Get a TaoSecurity Milnet T-shirt for yourself and a friend!


Monday, January 02, 2006

The Power of Open Source

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criticisms of open source software is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no one to blame when a customer needs a problem solved. For example, if an open source OS or application is found to suffer a vulnerability, no one is seen to be responsible for patching it. Following this line of thinking, commercial software is considered a superior choice for consumers (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r corporations or individuals). When a problem happens, users can rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor.

The recent SANS ISC post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF vulnerability has completely annihilated this argument. I have criticized SANS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, but I cannot fault cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir handling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing fiasco. I've never seen anything like this plea by Tom Liston before:

Looking forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week ahead, I find myself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very peculiar position of having to say something that I don't believe has ever been said here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Handler's diary before: "Please, trust us."

I've written more than a few diaries, and I've often been silly or said funny things, but now, I'm being as straightforward and honest as I can possibly be: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft WMF vulnerability is bad. It is very, very bad.

We've received many emails from people saying that no one in a corporate environment will find using an unofficial patch acceptable.

Acceptable or not, folks, you have to trust someone in this situation.

To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of my knowledge, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 5 years, this rag-tag group of volunteers hasn't asked for your trust: we've earned it. Now we're going to expend some of that hard-earned trust:

This is a bad situation that will only get worse. The very best response that our collective wisdom can create is contained in this advice - unregister shimgvw.dll and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unofficial patch. You need to trust us.


The unofficial patch Tom references was written by Ilfak Guilfanov and described here. What is this? It's a patch created by a non-Microsoft developer, acting more rapidly than Microsoft itself. Sure, you can argue that Microsoft is working now to develop a patch that will hopefully address deeper problems, perhaps serious problems. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, SANS has reverse engineered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unoffical patch to ensure its validity, wrote a FAQ about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, and is now hosting a .msi to ease patch installation. This is unprecedented.

Where is Microsoft on this issue? They published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir initial advisory on 28 Dec and updated it 30 Dec. Nothing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've done has helped resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit project has released a module to generate malicious WMF files. This puts exploit creation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest common denomintaor.

F-Secure reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue is truly "a feature, not a bug," due to Microsoft's design of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF format. In fact, F-secure says

"'The WMF vulnerability' probably affects more computers than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vulnerability, ever."

Everyone who paid good money to Microsoft to fulfill its duty as a commercial vendor selling closed, proprietary software is still waiting for an official patch. Meanwhile, users are owned by exploit spam and targeted WMF email attacks. Remember this example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time your management refuses to allow running open source software because "no one is responsible for problems."

When private third parties like SANS and Ilfak Guilfanov have to step up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate to save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument for exclusively running closed, proprietary software with a poor security record is weak indeed.

Note: I do not mean to unduly criticize Microsoft employees. I know several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m who are really sharp. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, however, Microsoft as a corporation is AWOL on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue.

Update: SANS has temporarily pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir .msi. However, I just installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original .exe on a Windows XP SP2 system without incident. I also unregistered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shimgvw.dll library. Ilfak Guilfanov's patch creates this directory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host:

C:\Program Files\WindowsMetafileFix>dir
Volume in drive C has no label.
Volume Serial Number is 30EF-BD7B

Directory of C:\Program Files\WindowsMetafileFix>

01/02/2006 08:52 AM DIR .
01/02/2006 08:52 AM DIR ..
01/01/2006 12:38 PM 155 compile.bat
01/01/2006 03:54 PM 1,141 Readme.txt
01/02/2006 08:52 AM 3,537 unins000.dat
01/02/2006 08:52 AM 673,546 unins000.exe
01/01/2006 03:41 PM 7,022 wmfhotfix.cpp
5 File(s) 685,401 bytes
2 Dir(s) 3,207,041,024 bytes free

C:\Program Files\WindowsMetafileFix>type Readme.txt
MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3

PLEASE READ THE FOLLOWING CAREFULLY!

This is a temporary fix for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Windows
Metafile file vulnerability:

http://www.hexblog.com/2005/12/wmf_vuln.html

It has been tested on Windows 2000, Windows XP,
and Windows XP Professional 64bit.
Please use it at your own risk and switch
to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official patch from Microsoft as soon
as it is be available.

THIS FIX IS PROVIDED 'AS IS' WITHOUT WARRANTY OF
ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF FITNESS
FOR A PURPOSE, OR THE WARRANTY OF NON-INFRINGEMENT.

IN NO EVENT SHALL ILFAK GUILFANOV BE LIABLE TO YOU
OR ANY THIRD PARTIES FOR ANY SPECIAL, PUNITIVE,
INCIDENTAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OF ANY KIND, OR ANY DAMAGES WHATSOEVER, INCLUDING,
WITHOUT LIMITATION, THOSE RESULTING FROM LOSS OF USE,
DATA OR PROFITS, WHETHER OR NOT HE HAS BEEN ADVISED
OF THE POSSIBILITY OF SUCH DAMAGES, AND ON ANY THEORY OF
LIABILITY, ARISING OUT OF OR IN CONNECTION WITH THE USE
OF THIS SOFTWARE.

Copyright 2006 by Ilfak Guilfanov, ig@hexblog.com
http://www.hexblog.com

As you can see, you can inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .cpp file and compile it yourself if you do not want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compiled wmffix_hexblog13.exe.