I don&#39;t think that that really follows.<div><br></div><div>First, I don&#39;t think it&#39;s necessarily the case that legislating based on intent somehow opens the door to legislative overreach. In criminal law it is nearly always the case (with the exception of a few specific statutory crimes) for intent to be a component of criminality; this limits the application of the law, rather than the opposite. You would not, I think, argue that defining murder based on intent opens the door to unfairly prosecuting other types of homicide. </div>
<div><br></div><div>Second, it doesn&#39;t sound to me like the EFF were really advocating any restrictions on what we, as private actors, do; as Adam said, they were only advocating limiting how tax dollars are spent. Complaining that this limits our freedom as private actors seems tantamount to saying that cutting the defense budget unfairly infringes upon the rights of military contractors to sell expensive weapons to the Pentagon.<br>
<br>It might be true that limiting exploit sales to the government is the first step down a slippery slope of limiting all exploit sales, but the EFF didn&#39;t propose that--they only proposed limiting what the government can spend money on. That&#39;s not itself an individual rights issue, is it? </div>
<div><br></div><div>(I think it&#39;s quite reasonable that some people here see the EFF&#39;s talk of the &quot;ethical responsibility&quot; of exploit sales as building the rhetorical base for regulating all exploit sales, but, well, isn&#39;t there some ethical consideration to be made?) </div>
<div><br></div><div><div class="gmail_quote">On Wed, Aug 15, 2012 at 11:52 PM, Bas Alberts <span dir="ltr">&lt;<a href="mailto:bas.alberts@immunityinc.com" target="_blank">bas.alberts@immunityinc.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Two DD posts in as many days!<br>
<br>
So, lets simmer down a bit and define what supposedly needs to be<br>
regulated:<br>
<br>
&quot;The sale of 0day exploits to governments&quot;<br>
<br>
Now lets deconstruct what a 0day exploit is at its core:<br>
<br>
&quot;An input into an algorithm that causes unexpected and undocumented<br>
results in the algorithm that are detrimental to the overall security<br>
of the system implementing said algorithm.&quot;<br>
<br>
Alright, hopefully that was broad enough for you nitpickers out there.<br>
<br>
So, exploits generate inputs for software that make the software do<br>
something it wasn&#39;t intended to do. The exploit itself is nothing<br>
more than an input generator as such.<br>
<br>
Now some of you may be all &quot;lol yeah and a gun is nothing more than<br>
a high velocity lead output generator&quot; and you would be correct in<br>
that assessment.<br>
<br>
That still doesn&#39;t make the gun vs. exploit analogy fit any better<br>
though.<br>
<br>
Objectively speaking exploits are just data that are input into<br>
software. I think we can all agree on that. The fact that this input<br>
facilitates the more worrysome stage of malicious tool deployment is<br>
coincidental. The exploit itself is agnostic in that regard. It<br>
does nothing more than trigger existing paths and states in the<br>
targeted software.<br>
<br>
So playing devil&#39;s advocate, the argument is that certain types of<br>
inputs into software should be regulated. That implies that there<br>
is to be a regulatory body for types of input into software which<br>
can establish the offensive intent of the input in question.<br>
<br>
Right?<br>
<br>
So now we&#39;re going to have to evaluate every software input generator<br>
sold to the government to establish whether it is generating input<br>
that may or may not have an undocumented impact on certain software<br>
that may be beneficial in offensive scenarios.<br>
<br>
We have to do this because we certainly would not want any exploit<br>
sales to slip under the radar.<br>
<br>
Correct?<br>
<br>
What I&#39;m getting at is that exploits, 0day or otherwise, are pieces<br>
of software that generate input into other pieces of software. By<br>
attempting to regulate software based on intent of use alone you are<br>
opening the door to much broader regulation and restriction of software<br>
development and software market freedom. Which is a point other people<br>
have been trying to make on this list in various ways.<br>
<br>
You are then also opening the pandora&#39;s box of going after any offensive<br>
tool, exploit or otherwise. Because if the bar for regulation is<br>
set by intent of use alone, then any and all software development<br>
can now be targeted under the very same regulations.<br>
<br>
And _THAT_ does not strike me as the sort of thing the EFF supposedly<br>
stands for.<br>
<br>
Love,<br>
Bas<br>
<div class="HOEnZb"><div class="h5"><br>
On Tue, Aug 14, 2012 at 05:57:04PM -0400, Adriel T. Desautels wrote:<br>
&gt; Oh I think it has the potential to cause harm, especially in the wrong<br>
&gt; hands... which is why I think that the zero-day exploit market should be<br>
&gt; regulated.  We&#39;re selling bullets and computers are the guns, there&#39;s no<br>
&gt; doubting that.  That is why when we sell we are so selective.<br>
&gt;<br>
&gt; We do our best to keep these tools in the right hands (being  a matter<br>
&gt; of perspective of course). And really, that&#39;s the most anyone can do<br>
&gt; right?<br>
&gt;<br>
&gt; What sorts of 0-day&#39;s are you seeing?  I&#39;m very interested.<br>
&gt;<br>
&gt; On 8/14/12 5:33 PM, Michal Zalewski wrote:<br>
&gt; &gt;&gt; How can anyone expect to protect themselves from zero-day&#39;s if they can&#39;t<br>
&gt; &gt;&gt; protect themselves from known issues for which patches / fixes already<br>
&gt; &gt;&gt; exist?<br>
&gt; &gt; I generally agree, and that&#39;s why I think the APT rhetoric is somewhat harmful:<br>
&gt; &gt; <a href="http://lcamtuf.blogspot.com/2011/02/world-of-hbgary.html" target="_blank">http://lcamtuf.blogspot.com/2011/02/world-of-hbgary.html</a><br>
&gt; &gt;<br>
&gt; &gt; But you know, I&#39;m also working for a company that happens to be<br>
&gt; &gt; routinely targeted by 0-days - so I disagree with the argument that<br>
&gt; &gt; 0-day trade has no potential to cause harm.<br>
&gt; &gt;<br>
&gt; &gt; /mz<br>
&gt;<br>
<br>
</div></div><div class="HOEnZb"><div class="h5">&gt; _______________________________________________<br>
&gt; Dailydave mailing list<br>
&gt; <a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
&gt; <a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
<br>
</div></div><br>-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.10 (GNU/Linux)<br>
<br>
iEYEARECAAYFAlAsGjUACgkQLpdA2Ju9tfc6/ACfQZ1JquvGAeR9CAWxD6yx9DFh<br>
yGsAnR2x4fwnUEsxkzC0wxiU9c9HhZRA<br>
=h6C0<br>
-----END PGP SIGNATURE-----<br>
<br>_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
<br></blockquote></div><br></div>