<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Sep 2, 2024 at 3:55 PM efc--- via cryptography <<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On Mon, 2 Sep 2024, Peter Gutmann wrote:<br>
<br>
> efc--- via cryptography <<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a>> writes:<br>
><br>
>> This is a weakness that I think is underaprpeciated. I mean the fact that<br>
>> many projects have a small core of programmers, who are know. In order to "<br>
>> break" the system, you can approach and kidnap members of the family of the<br>
>> programmers, or one programmer, and have him add bugs to the project.<br>
><br>
> That's an incredibly high-profile, visible attack, and kidnapping as a crime<br>
> is about... many orders of magnitude more pursuable and punishable by law<br>
> enforcement than changing a line or two of code in someone's project.<br>
><br>
> I would put this one in the movie-plot-attack category.<br>
><br>
> Peter.<br>
<br>
<a href="https://www.businessinsider.com/crypto-nft-owners-targeted-kidnaps-home-invasions-robberies-2022-2?op=1" rel="noreferrer" target="_blank">https://www.businessinsider.com/crypto-nft-owners-targeted-kidnaps-home-invasions-robberies-2022-2?op=1</a><br>
<br>
When the return on investment is high, high-profile attacks are not <br>
unheard of.<br>
<br>
Also, infiltrating open source projects for years, is not high-profile.<br></blockquote><div> </div><div><div class="gmail_default" style="font-size:small">The tell that an attack has a nation state behind it is often a comically long kill chain.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">OK to get our backdoor into SSH we are going to compromise this compression algorithm project and futz with the test libraries...</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">OK, we will buy this Swiss cryptographic equipment maker and ship product for decades...</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div><div><div class="gmail_default" style="font-size:small">Cases of death caused by autoerotic asphyxiation are vanishingly rare except amongst the enemies of Vladimir Putin which accounted for 75% of the known cases until the coincidence was pointed out.</div><br></div><div> </div></div></div>