<div dir="ltr"><div><span style="font-family:sans-serif">Having a bug bounty program wouldn't have helped Equifax. Only Equifax could have helped Equifax. The root cause of the problem wasn't that they didn't know about the bug, it was that they face the same patch prioritization risk vs resource balance that all orgs gamble with. They lost that gamble, which is what every breach represents: a lost bet on the tradeoffs. Simply knowing about a bug, via a bug bounty or otherwise, is just that. And knowing is at best half the battle.</span></div><div><span style="font-family:sans-serif"><br></span></div><div><span style="font-family:sans-serif">But to return to Dave's assertion about the bug bounty ecosystem itself and what it currently is good for and what it's used for - I have many thoughts. And even more songs. </span></div><div><span style="font-family:sans-serif"><br></span></div><div>"<span style="font-family:sans-serif">In a sense, the entire bug bounty market is a breeding ground for a species that can collect extremely low impact web vulnerabilities into a life sustaining nutrient cycle, like the crabs on volcanic plumes in the depths of the Pacific. "</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><font face="sans-serif"><a href="https://en.m.wikipedia.org/wiki/Mariana_Trench" target="_blank">https://en.m.wikipedia.org/<wbr>wiki/Mariana_Trench</a> </font><br></div><div dir="auto"><br></div><div dir="auto"><font face="sans-serif">Agreed that the bug bounty market has evolved in this *particular stage of it's growth* through its own complex system, the dynamics of which are</font><span style="font-family:sans-serif"> heavily influenced by factors like:</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">1. the types of organizations who have been adopting these incentives so far (mostly tech companies), </span></div><div dir="auto"><span style="font-family:sans-serif">2. the typical targets (mostly web sites), and </span></div><div dir="auto"><span style="font-family:sans-serif">3. the types of vulnerabilities they tend to use bug bounties to find (mostly low hanging fruit that could have been found using common free tools & techniques). </span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">Also a factor in this ecosystem is the geolocation and socioeconomic status of the script kiddie bug hunting masses, who, unlike the early professional penetration testers like us, don't have to adapt their techniques to find more interesting, higher quality bugs to continue to be paid relatively small amounts that are worth much more to them in their part of the world. </span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">That's good for those bug hunters who are in this category. That's actually bad for the evolution of the bug bounty ecosystem, and is accurate in Dave's characterization of what's happening *right now*. </span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">The upside effect though is that the bug hunter masses can now access a safe marketplace for their skills regardless of those facts of where they are and whether they could ever become a "security consultant". That's generally good, but the *dominant* "species" of bug hunter, as Dave accurately points out about them now will remain relatively unskilled if we don't act with higher-order outcomes in mind. </span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">It will be l</span><span style="font-family:sans-serif">ike an attempt at brewing beer that gets taken over and soured by undesirable flora before the brewers yeast kicks in and creates the desired effect. And I've been brewing the defensive market for vulnerabilities far too long to watch idly and let the batch sour.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">We ideally want to create an upward trend in bug hunter population skills, as well as move the bug hunter targets themselves, towards more sophisticated bugs. We are not raising the tide, and we are not causing all ships to rise with it. Just by slapping a bug bounty or vuln disclosure program on something, we are missing the point.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">One of the papers that we produced out of the MIT Sloan School visiting scholar systems modeling I worked on will come out sometime this fall (2017) as a chapter in an MIT Press book. That paper looks specifically at bug bounty participant data at a specific point in the development of this economy. </span><span style="font-family:sans-serif">Bet you're curious about that supply side snapshot of the bug bounty Mariana Trench. :) Look for that book with our research paper when it's out.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">Bug bounties as they have mostly manifested *right now, at this specific stage in that ecosystem's development,* are a cheap, shiny thing to do, with few exceptions.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">And no, the exceptional bug bounties are not the ones that pay the most more on that later. The presence of a bug bounty program is being currently used by organizations to virtue signal that they take security seriously by paying for web bugs, but often missing or ignoring aggregate threats, and ignoring their internal failing processes to fix bugs.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div><span style="font-family:sans-serif">It matters very much what's on the inside, versus the superficial, shiny, bug bounty exterior. </span></div><div dir="auto"><br></div><div dir="auto"><font face="sans-serif">Shiny (but still very insecure):</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif"><a href="https://www.youtube.com/watch?v=93lrosBEW-Q">https://www.youtube.com/watch?v=93lrosBEW-Q</a></font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">The alliterative buzz word "bug bounty", deceptively simple and so very misunderstood, needs to evolve as an accepted concept into the more accurate, more strategic "incentives". </font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">Straight cash as the only lever for bringing all the (good) bugs to the yard is short-sighted & pollutes the entire defensive reward ocean in this evolution of the vulnerability and exploit markets. Cash is only one lever in this system, and it isn't the most effective one if you're buying bugs for defense purposes, as I've been saying for several years.</font></div><div dir="auto"><br></div><div dir="auto"><font face="sans-serif">Perhaps if a strapping demigod of security would just repeat this for me, it would replace the econ 101 BS that has plagued the emerging bug bounty market. Of course, I'm sure they'd happily forget where they heard it first.</font></div><div dir="auto"><font face="sans-serif"><a href="https://mail.google.com/mail/u/0/goog_765668778"><br></a></font></div><div><font face="sans-serif"><a href="https://www.youtube.com/watch?v=79DijItQXMM">https://www.youtube.com/watch?v=79DijItQXMM</a> </font><br></div><div><font face="sans-serif"><br></font></div><div><font face="sans-serif">Just kidding, I'll speak for myself, as always:</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif"><a href="https://www.rsaconference.com/writable/presentations/file_upload/ht-t08-the-wolves-of-vuln-street-the-1st-dynamic-systems-model-of-the-0day-market_final.pdf" target="_blank">https://www.rsaconference.com/<wbr>writable/presentations/file_<wbr>upload/ht-t08-the-wolves-of-<wbr>vuln-street-the-1st-dynamic-<wbr>systems-model-of-the-0day-<wbr>market_final.pdf</a><br></font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">Better-than-a-bug-bounty incentives that are much more effective for improving defense may not be direct cash, may not be rewards at all. Instead they might be a much harder deep introspective process, to examine what drives the heart of an organization, what they are doing to defend what's important to them, and whether the security choices, tradeoffs, resources, and budgets are actually working for them. What incentives can they use to tease out real risk, rather than being lazy and trendy and calling it a success.</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div><font face="sans-serif">No, a bug bounty would not have helped Equifax prevent what happened, and we need to seriously stop the VC-backed tsunami of propaganda that says that it would. That stupid marketing trick employed by at least one of the bug bounty platform vendors should be beneath the critically-thinking readers of this list to entertain in terms of its obvious oversimplicity of a non-trivial problem. </font></div><div><font face="sans-serif"><br></font></div><div><font face="sans-serif">I'm not even going to address the cyber insurance idea on this, and by now in this long operetta of a post, it should be obvious as to why.</font></div><div><font face="sans-serif"><br></font></div><div><font face="sans-serif">Bug bounties and cyber insurance are not a remedy for a fundamentally unscalable remediation model that most orgs and governments face today. That's precisely why 94% of the Forbes Global 2000 in 2015 didn't even have a front door to report a vulnerability, let alone a bug bounty, and it's not much better now. </font></div><div><font face="sans-serif"><br></font></div><div><font face="sans-serif">They struggle to fix the bugs they already know about, and the bottlenecks in that *internal* process are what need work. Putting up a front door to receive bug reports, even without a bug bounty, when there's nothing operationally sufficient inside that org to address what comes through the door, is not the chaos an org needs in the midst of drowning in technical debt.</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">It's time to return the heart of the bug bounty ocean to stop the spread of this intellectual and ecosystem-poisoning darkness. I've been staring at the edge of the water, long as I can remember...</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif"><a href="https://www.youtube.com/watch?v=GeIHvhnQbbI">https://www.youtube.com/watch?v=GeIHvhnQbbI<br></a></font></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">- k8eM0ana</span><br></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif"><a href="https://www.youtube.com/watch?v=Lg_cweoJXyo">https://www.youtube.com/watch?v=Lg_cweoJXyo</a><br></font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><br></div><div dir="auto">🏝<span style="font-family:sans-serif">️</span>👩<span style="font-family:sans-serif">‍</span>💻🐞🌋🌺<span style="font-family:sans-serif"> @k8em0 @lutasecurity @k8eM0ana </span>🏝<span style="font-family:sans-serif">️</span>👩<span style="font-family:sans-serif">‍</span>💻🐞🌋🌺<br></div><div dir="auto"><div class="gmail_extra" dir="auto"><br><div class="gmail_quote"><blockquote class="gmail-m_-8121519102228538183quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br></blockquote></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 27, 2017 at 9:30 AM, Kristian Erik Hermansen <span dir="ltr"><<a href="mailto:kristian.hermansen@gmail.com" target="_blank">kristian.hermansen@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">If Equifax had a public bug bounty program, someone would have reported the Java RCE in March 2017 and picked up $10K or more for it. But no, Equifax did not have a public bug bounty program. Say what you will about the pros and cons of a bug bounty program, especially for financial institutions which "know better than the public how to protect themselves", but at least in this case a known issue would have been well documented much earlier. We should encourage other credit and financial companies to consider public or at the very least private bug bounty programs. It's a mess to operate them, but not patching a known critical web flaw ASAP that allows RCE is precisely the legal definition of negligence. Equifax should pay dearly for it.<div dir="auto"><br></div><div dir="auto">Perhaps it's time to consider federal Cyber Security Insurance laws for such companies which forces them to pay fees to operate on the Internet just like everyone that drives a car on the road? If you crash your car every time you get on the highway, or you damaged 140 million cars while driving, you would lose your license for some time. Why hasn't Equifax lost their license to operate on the internet for some time? How about a 2 year hiatus on their annual revenue to punish them? Just a thought. Maybe Halvar can chime in on why Cyber Security Insurance regulation like that is OR is not the answer. He has been working on that lately...</div></div><br>______________________________<wbr>_________________<br>Dailydave mailing list<br><a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.<wbr>com</a><br><a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/<wbr>mailman/listinfo/dailydave</a><br><br><br></blockquote></div></div></div>