Re: [ml] Disclosure survey

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


> Secondo voi come verranno gestite le vulnerabilità in futuro?

in nessuna maniera diversa dall'attuale, c'e' solo da capire quale sara'
- - tra gli attuali metodi - quello che la spuntera' (leggi, quello piu'
comodo e che fa fare piu' soldi).

* bughunter -> grossa realta' di sicurezza -> vendor.

La societa' che sta in mezzo è quella predominante:

1) paga il bughunter quanto vuole.
2) Ricatta i vari vendors. Se il vendor vuole una notifica immediata
deve iscriversi ad un programma di patnership costoso. Usa i vari codici
acquisiti per i propri scopi (dal piu' semplice pentest alla piu'
complessa azione di intelligence). Oltre questo decide ed attua una
policy di rilascio un po' piu' onorevole, almeno dovrebbe, in teoria.
(vedi caso tippingpoint, per esempio).
3) Se il bughunter cerca di bypassarla, non becca una lira e si brucia
uno 0day, quindi tanto vale passare per lei e prendere quello che ti da.

* piccola/media realta' di sicurezza -> compratore.
1) il compratore crea una patnership col il venditore, pagando e
firmando delle NdA alquanto restrittive.
2) il venditore da accesso al compratore ad alcune e limitate (nella
maggior parte dei casi, e anche in funzione dei soldi versati) fonti di
informazioni, approfondimenti tecnici e varia roba 0day.

* Bughunter -> vendor
1) ti becchi i credits
2) ti crei il nome da "vendere" e magari qualche offerta di lavoro dal
manager di turno.

* Vendita in proprio
1) Il bughunter fa il prezzo
2) Il compratore (per lo piu' phishers, prestanomi mandati dai vendors,
agenzie di investigazioni private, terroristi, etc..etc..) paga, senza
problemi.

* Vendita col tramite
1) Conosci Y che conosce gli "interessanti"
3) il bughunter fa il prezzo
4) Y aggiunge un paio di zeri al prezzo
... poi avviene lo scambio, con Y che la sera andra' a festeggiare al
prive' dell'Alcatraz. :>

* 0day exploits packs
Pacchi, in generale, nel vero senso della parola. Il commerciante di
turno prende una decina di 0day, li mette in un .tar e te lo vende. Ti
rivende pure supporto tecnico per eventuali problemi di porting sui vari
exploiting framework, e tu sei contento (ma lui di piu' di te
:PpPPPppP), oltre questo per X mesi ti fa contento con vari upgrade.

* Sharing Clubs
Dammi "METTIQUIUNACIFRA" di euro/dollari, entri nel mio club elite, e
inizia a condividere, gli altri condivideranno con te. Generalmente sono
suddivisi a livelli, dal piu' basso dove si trova relativamente poco (e
quindi meno costoso) a quello piu' alto e costoso, dove ci stanno
vendors e altra gente poco raccomandabile.

* Io do a te, tu dai a me
Difficile oramai trovare qualcuno che attua questo metodo, tranne in
comunita' di hackers e blackhats molto uniti, che si fidano l'un l'altro.

* Fattore Divineint
Vai su IRC e/o AIM, cerchi lo pseudonimo divineint (o "aprodite", il suo
nick attuale di *copertura" :PppPPPpp), lo si contatta, gli si da
qualche exploit (anche fake, pare li preferisca), ed in cambio gli si
chiede qualcosa. Lui te lo da, si scappa via, e si ha - con poco sforzo
- - lo 0day piu' tradato del momento. Attenzione a non dargli qualcosa di
utile, è un ragazzo motivato: tempo fa riusci' a tradare una versione
privata di suckit trasferendolo file per file. :PpPPPpp

* 0dayebay.com (nome inventato sul momento...)
Ebay, con prodotti 0day. Tu bughunter ti registri, fai l'upload del
codice che vuoi vendere, chi gestisce l'infrastruttura lo verifica, lo
approva e lo mette disponibile alla "community". Dopodiche' inizia
l'asta. Chi gestisce il tutto puo' decidere pure a *chi* rendere
disponibile l'asta, e altro. Ovviamente dopo la verifica, il gestore
deve pagare qualcosa al bughunter, altrimenti si ritroverebbe con uno
0day a prezzo nullo. E qui ritorniamo al primo caso, quando si aveva il
venditore di sicurezza ambulante in mezzo. Cambia solo il metodo di
vendita, ad asta. Il piu' forte vince.

By the way:

Bug Auctions: Vulnerability Markets Reconsidered
http://www.cl.cam.ac.uk/~jo262/papers/weis04-ozment-bugauc.pdf

"Measuring software security is difficult and inexact; as a result, the
market for secure software has been compared to a ‘market of lemons.’
Schechter has proposed a vulnerability market in which software
producers offer a time-variable reward to free-market testers who
identify vulnera- bilities. This vulnerability market can be used to
improve testing and to create a relative metric of product security.
This paper argues that such a market can best be considered as an
auction; auction theory is then used to tune the structure of this ‘bug
auction’ for efficiency and to better defend against attacks. The
incentives for the software producer are also considered, and some
fundamental problems with the concept are articulated."

Impact of Software Vulnerability Announcements on the Market Value of
Software Vendors – an Empirical Investigation
http://infosecon.net/workshop/pdf/telang_wattal.pdf

Researchers in the area of information security have mainly been
concerned with tools, techniques and policies that  firms can use to
protect themselves against security breaches. However, information
security is as much about security  software as it is about secure
software.  Software is not secure when it has defects or flaws which can
be exploited by hackers to cause attacks such as unauthorized intrusion
or denial of service attacks. Any public announcement about a
software defect is termed as ‘vulnerability disclosure’.
In this paper, we use the event study methodology to examine the role
that financial markets play in determining the impact of vulnerability
disclosures on software vendors. We collect data from leading national
newspapers and industry sources by searching for reports on published
software vulnerabilities. Our main result is that vulnerability
disclosures do lead to a negative and significant change in market value
for a software vendor. On average, a vendor loses around 0.6% value in
stock price when a vulnerability is reported. This is equivalent to a
loss in market capitalization values of $0.86 billion per vulnerability
announcement. To provide further insight, we use the
information content of the disclosure announcement to classify
vulnerabilities into various types. This is the first study
to measure vendors’ incentive to develop secure software and also
provides many interesting implications for software
vendors as well as policy makers.

Economic Analysis of Incentives to Disclose Software Vulnerabilities
http://infosecon.net/workshop/pdf/20.pdf

Non sono l'oracolo, ma sono abbastanza sicuro che nell'immediato futuro
ci saranno/nasceranno molte piu' societa' con lo scopo di intermediare
tra il bughunter e i vari vendors.

- --
Gaetano Zappulla		           http://www.linux.it/~gaetano/
mail : echo "d^bq^kl=pfhrobww^+lod" | perl -pe 's/(.)/chr(ord($1)+3)/ge'
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (Darwin)

iD8DBQFFBDqdmr4O+8Bd6ekRAumdAJ9kNPS9PqTtlaIkxHtBNVZ2F8voHwCgu89C
1Fht6BkRSMpPHbVTcepFBZU=
=fEeN
-----END PGP SIGNATURE-----