<div dir="ltr"><div>I went back a couple days ago and re-read the latest Qualys exploit, as you should: <a href="http://seclists.org/oss-sec/2015/q3/185">http://seclists.org/oss-sec/2015/q3/185</a> . &quot;Hi, here is a program that uses RLIMIT_FSIZE to like, own all the systems you probably have in your enterprise!&quot; Unix is neat! </div><div><br></div><div>But equally important is the Qihoo360 talk from Syscan 15. This is available here: <a href="https://www.youtube.com/watch?v=5imoFfjZjx0">https://www.youtube.com/watch?v=5imoFfjZjx0</a> . Notice how they beat up all of Microsoft&#39;s very latest projection work, without breaking a sweat, but all the while in a very Chinese way, praising the cleverness of their opponent. </div><div><br></div><div>Both of these talks are phenomenal work that is done while making it look easy and should teach you a strategic lesson about hacking. </div><div><br></div><div>People go to Vegas to be distracted. And it&#39;s fun to be distracted by what is a literal modern-day witch hunt from Chris Seghoian and friends against hackers because they can do things that scare children. Equally true is that it is easy to be distracted by whatever the latest junk hacking is that appears in Wired or on CNN. Or, of course, by whatever random magic trick someone at Google&#39;s Project Zero has put out on a blog. &quot;OMG FLASH HAS ANOTHER BUG!?!?!!&quot;</div><div><br></div><div>Project Zero is irrelevant and I&#39;ll tell you why in six words or less: People have actual shit to secure. P0 is about marketing dollars, and annoying their competition and building a talent base. But that talent base will leave in 20 seconds once they realize marketing has no value, and they&#39;re going to get used to secure Android from Stagefreight Bug 2.0, or Nest from whatever horrible bugs are in that platform, or the Google App Engine from the <a href="https://threatpost.com/researchers-disclose-further-vulnerabilities-in-google-app-engine/112849">thousand insane isolation bugs that effect it</a> that they won&#39;t admit are a catastrophic isolation design failure.</div><div><br></div><div>Don&#39;t believe me? Where are the P0 entries against Android and Nest and Chromebook and App Engine? I&#39;m sure they give them sixty days, just like external companies, right?</div><div><br></div><div>Why would you have all your best hackers working on random external companies and not securing the stuff you deliver to customers and depend on for your business? Where&#39;s all the hard core XSS work against <a href="http://Inbox.google.com">Inbox.google.com</a> that needs to be publicized? Just getting used by the Chinese APT666 group, then?</div><div><br></div><div>That Qualys userhelper bug and the Qihoo360 IE talk should remind you that aside from all the things that get mad twitter retweets by Infosec Taylor Swift personas, there&#39;s <a href="https://www.redhat.com/archives/fedora-announce-list/2008-August/msg00012.html">old school hackers</a> available and possibly bored, sitting on all the servers that underlie all your assumptions, like a divide by zero error lurking in the corner of your vision. </div><div><br></div><div>Remember when various members of TESO didn&#39;t have 150 thousand twitter followers because they hinted at having iOS jailbreaks which are, frankly, cakewalk for a hacker like Lorian to produce? Where do you think the rest of TESO went, if not to Twitter or Project Zero?  </div><div><br></div><div>In summary let me put it this way: You cannot afford to be distracted by the show. </div></div>