Am 1. Juli 2009 Keine Anmerkung 1 July 2009 No Comment

gut heute ist der erste Tag des Julis, und das bedeutet, dass es auch der erste Tag des Monats von Gezwitscher-Programmfehlern ist. wie letzter 'Monat von X Programmfehlern jeden Tag wird eine Sicherheitsverwundbarkeit in Zusammenhang mit dem unterworfenen Produkt/Dienst (in diesem Fall Gezwitscher) zum Publikum bekannt gegeben. well today is the first day of july and that means it’s also the first day of the month of twitter bugs. like past ‘month of X bugs’, each day a security vulnerability relating to the subject product/service (in this case twitter) will be disclosed to the public.

warum geben sie diese Verwundbarkeit zum Publikum bekannt? als mit jeder Übung in der vollen Enthüllung ist die Idee, die Gesellschaft (En) zu zwingen, die beteiligt ist, die bekannt gegebene Verwundbarkeit zu Vernunft zu kommen und zu befestigen. volle Enthüllung stellt die Information in den öffentlichen Bereich, so dass viele Menschen davon und etwas ebenso Aufmerksamkeit Ergreifendes bewusst sind wie ein 'Monat von X Programmfehlern' Festnahmen sogar mehr Meinungsanteil und es dass viel näher an der Hauptströmung bekommt.why are they disclosing these vulnerabilities to the public? as with any exercise in full disclosure the idea is to force the company(ies) involved to clean up their act and fix the disclosed vulnerability. full disclosure puts the information into the public sphere so that many people are aware of it and something as attention-grabbing as a ‘month of X bugs’ captures even more mind-share and gets it that much closer to the mainstream.

in der Theorie ist das für das Publikum gut. in der Theorie tun die Forscher, die die Enthüllung tun, eine gute Tat, weil sie sich über die Sicherheit und die Gesellschaft (En) sorgen, sind sie pantsing sind faule, arrogante Barbaren, die sich über die Sicherheit oder das Publikum nicht sorgen, und wer ins Machen der richtigen Sache gezwungen werden muss. und vermutlich die individuellen Programmfehler bestechend, identifizieren sich die Verwundbarkeitsforscher ist das richtige Ding zu tun.in theory this is good for the public. in theory the researchers doing the disclosure are doing a good deed because they care about security and the company(ies) they’re pantsing are lazy, arrogant boors who don’t care about security or the public and who need to be forced into doing the right thing. and supposedly fixing the individual bugs the vulnerability researchers identify is the right thing to do.

aber und wenn die Theorie falsch ist? nicht alle Gesellschaften werden gleich geschaffen (noch sind alle Verwundbarkeitsforscher, was das betrifft). niemand weiß, was innerhalb einer Gesellschaft außer den Leuten innerhalb dieser Gesellschaft weitergeht. es ist möglich, dass eine gegebene Gesellschaft wirklich an einer umfassenden Steigung zu ihrer Sicherheitshaltung arbeiten kann, die Grasnarben von Programmfehlern einschließlich derjenigen begegnen würde, die von Außenforschern identifiziert werden. aber das würde verzögert werden müssen, und die Zeit der Gesellschaft vergeudet, so dass sie nach diesen individuellen Programmfehlern einer nach dem anderen suchen können, um zu scheinen, etwas zu tun. so ist die Folge, Verwundbarkeitsankündigung zum öffentlichen Bereich auszuwechseln.but what if the theory is wrong? not all companies are created equal (nor are all vulnerability researchers for that matter). nobody knows what goes on inside a company except the people inside that company. it’s possible that a given company may actually be working on a comprehensive upgrade to their security posture that would obviate swaths of bugs including the ones that get identified by outside researchers. but that would have to be delayed and the company’s time wasted so that they can chase down these individual bugs one at a time in order to appear to be doing something. such is the consequence of shifting vulnerability notification to the public sphere.

jetzt bin ich nicht dabei, unaufrichtig zu sein und darauf hinzuweisen, dass das ist, was die ganze Zeit oder sogar den größten Teil der Zeit geschieht, aber in der Softwareentwicklung seiend, fühle ich mich überzeugt, dass sie etwas von der Zeit zufällig. now, i’m not going to be disingenuous and suggest this is what happens all the time or even most of the time, but being in software development i feel confident that it is happening some of the time.

volle Außenenthüllungspraktiker haben keine Weise zu wissen, dass jedoch, noch ich jede Anzeige gesehen habe, dass sie sich sorgen. trotz der warmen und krausen Ideologie hinter der Praxis ist volle Enthüllung eine Anwendung der Kraft. es ist eine Übung im Zwang, einem Beispiel, Public Relations zu verwenden, um eine Gesellschaft zum eigenen Willen des Forschers der Verwundbarkeit zu biegen, weil vermutlich der Forscher besser weiß als die Gesellschaft, was für die Benutzer der Gesellschaft am besten ist.external full disclosure practitioners have no way to know that, however, nor have i seen any indication that they care. despite the warm and fuzzy ideology behind the practice, full disclosure is an application of force. it is an exercise in coercion, an example of using public relations to bend a company to the vulnerability researcher’s own will because supposedly the researcher knows better than the company what is best for the company’s users.

ich bin nicht mehr ein Anhänger von faulen, arroganten, flegelhaften Gesellschaften, als der folgende Kerl, aber die Krieg führenden 3. Parteien einen schlechten Geschmack in meinem Mund auch verlässt. i’m no more a fan of lazy, arrogant, boorish companies than the next guy, but belligerent 3rd parties leave a bad taste in my mouth too.