
<p dir="ltr"></p>

<p dir="ltr">On Sun, Sep 11, 2016 at 6:32 PM, <<a href="mailto:alex@alten.org">alex@alten.org</a>> wrote:<br>

> Quoting Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>>:<br>

>><br>

>> Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> writes:<br>

>><br>

>>> Frankly ... I don't see it happening. The demand is simply not there.<br>

>>> The<br>

>>> sophisticated attacks we talk about here are *not* how hacking is done<br>

>>> today.<br>

>>> We haven't even seen evidence of the government actors going that far.<br>

>>> There<br>

>>> are way too many easier attacks.<br>

>><br>

>><br>

> ..<br>

>><br>

>> (the latter was just a re-stating in the context of Ian's quote of<br>

>> Shamir's<br>

>> Law that crypto is bypassed, not attacked).<br>

>><br>

><br>

> This is so true. After having spent several years with (legal)<br>

> cyber-hacking<br>

> teams, I almost don't care about crypto anymore.<br>

><br>

> I'm far more worried about securing application code and OS kernel code as<br>

> much as possible without any real support in hardware or a real reference<br>

> monitor (for the latter case except possibly the more recent iOS/iPhone).<br>

><br>

> To me the question is how to better secure the app tool chain processes<br>

> effectively to reduce attack surfaces (like ASLR compiler flags, stack<br>

> canaries, usage of more secure Clib calls, etc.), to (methodically)<br>

> re-engineer kernels (and maybe silicon) to also reduce their attack<br>

> surfaces.<br>

><br>

> And to have good monitoring and analysis tools (Netflix's FIDO comes to<br>

> mind)<br>

> without overwhelming that person with false positives or huge amounts of<br>

> data (like using topographical data analysis, e.g. the Python Mapper open<br>

> source).</p>

<p dir="ltr">If only there was a widely used embedded language designed by the DoD with built-in bounds checks, widespread compiler support on different architectures, and in GCC.</p>

<p dir="ltr">Maybe it's even named after a woman.</p>

<p dir="ltr">><br>

> - Alex<br>

><br>

><br>

><br>

> _______________________________________________<br>

> The cryptography mailing list<br>

> <a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>

> <a href="http://www.metzdowd.com/mailman/listinfo/cryptography">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br><br></p>

<p dir="ltr">-- <br>

"Man is born free, but everywhere he is in chains".<br>

--Rousseau.</p>