<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style>
<!--
@font-face
        {font-family:"Cambria Math"}
@font-face
        {font-family:Calibri}
@font-face
        {font-family:MingLiU}
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman"}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline}
p
        {margin-right:0cm;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman"}
span.EmailStyle18
        {font-family:Calibri;
        color:windowtext}
span.msoIns
        {text-decoration:underline;
        color:teal}
.MsoChpDefault
        {font-size:10.0pt}
@page WordSection1
        {margin:72.0pt 72.0pt 72.0pt 72.0pt}
div.WordSection1
        {}
-->
</style>
</head>
<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">
<div>Stacy,</div>
<div>10PM works for Taiwan. </div>
<div><br>
</div>
<div>Thank you. </div>
<div><br>
</div>
<div>Peter</div>
<div><br>
</div>
<div><br>
</div>
<div>-------- Original message --------</div>
<div>From: Stacy Janes <stacy.janes@irdeto.com> </div>
<div>Date: 8/13/16 04:54 (GMT+08:00) </div>
<div>To: "Feuer, Magnus" <mfeuer1@jaguarlandrover.com>, Jeremiah Foster <jeremiah.foster@pelagicore.com>
</div>
<div>Cc: anuja@computer.org, tal.bendavid@karambasecurity.com, genivi-projects@lists.genivi.org, "Peter Yang (PM-TW)" <peter_yang@trend.com.tw>, Yoram Berholtz <yoram@argus-sec.com>, assaf.harel@karambasecurity.com, Antonio De Rosa <Antonio.DeRosa@opensynergy.com>
</div>
<div>Subject: Re: [GENIVI security group] Security group assessment method discussion
</div>
<div><br>
</div>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri">Jeremiah,</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri">I am also in EST and agree that the 1am calls are not ideal.  There is involvement from Asia as well, so I am currently looking a better time. Magnus’s suggestion below puts it at 10pm
 CST (Taiwan).  Is that workable for those from that timezone?</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri">Stacy</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<div style="border:none; border-top:solid #B5C4DF 1.0pt; padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-family:Calibri; color:black">From: </span>
</b><span style="font-family:Calibri; color:black">"Feuer, Magnus" <mfeuer1@jaguarlandrover.com><br>
<b>Date: </b>Friday, August 12, 2016 at 3:55 PM<br>
<b>To: </b>Jeremiah Foster <jeremiah.foster@pelagicore.com><br>
<b>Cc: </b>Stacy Janes <stacy.janes@irdeto.com>, "anuja@computer.org" <anuja@computer.org>, "tal.bendavid@karambasecurity.com" <tal.bendavid@karambasecurity.com>, "genivi-projects@lists.genivi.org" <genivi-projects@lists.genivi.org>, "peter_yang@trend.com.tw"
 <peter_yang@trend.com.tw>, Yoram Berholtz <yoram@argus-sec.com>, "assaf.harel@karambasecurity.com" <assaf.harel@karambasecurity.com>, Antonio De Rosa <Antonio.DeRosa@opensynergy.com><br>
<b>Subject: </b>Re: [GENIVI security group] Security group assessment method discussion</span></p>
</div>
<div>
<p class="MsoNormal"> </p>
</div>
<div>
<div>
<div>
<p class="MsoNormal">Unless Asia is heavily involved, I propose 7:00 PST / 10:00 EST / 15:00 GMT / 16:00 CET. That usually works for us Left coasters.
</p>
<div>
<p class="MsoNormal"> </p>
</div>
<div>
<p class="MsoNormal">/Magnus F.</p>
</div>
</div>
<div>
<p class="MsoNormal"><br clear="all">
</p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt">-------------------</span></p>
</div>
<p class="MsoNormal"><i><span style="font-size:10.0pt">Head System Architect - Open Source Projects<br>
</span></i><b><span style="font-size:10.0pt">Jaguar Land Rover</span></b><span style="font-size:10.0pt"><br>
<br>
<b>Email</b>: <a href="mailto:mfeuer1@jaguarlandrover.com" target="_blank"><span style="color:#1155CC">mfeuer1@jaguarlandrover.com</span></a> <br>
<b>Mobile</b>: +1 949 294 7871</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt"> </span></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><img border="0" width="190" height="42" id="_x0000_i1025" src="http://www.jaguarlandrover.com/email/jlr.jpg"></p>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt">Jaguar Land Rover North America, LLC</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt">1419 NW 14th Ave, Portland, OR 97209<br>
-------------------<br>
</span><span style="font-size:7.5pt">Business Details:<br>
Jaguar Land Rover Limited<br>
Registered Office: Abbey Road, Whitley, Coventry CV3 4LF </span><span style="font-size:9.5pt">
</span></p>
<div>
<p class="MsoNormal"><span style="font-size:7.5pt">Registered in England No: 1672070</span><span style="font-size:9.5pt"></span></p>
</div>
<p class="MsoNormal"><span style="font-size:9.5pt"><br>
</span><span style="font-size:7.5pt">This e-mail and any attachments contain confidential information for a specific individual and purpose.  The information is private and privileged and intended solely for the use of the individual to whom it is addressed. 
 If you are not the intended recipient, please e-mail us immediately.  We apologise for any inconvenience caused but you are hereby notified that any disclosure, copying or distribution or the taking of any action in reliance on the information contained herein
 is strictly prohibited.<br>
<br>
This e-mail does not constitute an order for goods or services unless accompanied by an official purchase order.</span><span style="font-size:9.5pt"></span></p>
</div>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">On Fri, Aug 12, 2016 at 12:40 PM, Jeremiah Foster <<a href="mailto:jeremiah.foster@pelagicore.com" target="_blank">jeremiah.foster@pelagicore.com</a>> wrote:</p>
<blockquote style="border:none; border-left:solid #CCCCCC 1.0pt; padding:0cm 0cm 0cm 6.0pt; margin-left:4.8pt; margin-right:0cm">
<p>Hi,</p>
<p>07:00 CET is 01:00 EST and 22:00 PST. Isn't there a better time, especially for CET where many European automotive engineers can't attend due to being outside of work hours?</p>
<p>Regards,</p>
<p>Jeremiah</p>
<div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">On Aug 12, 2016 2:26 PM, "Stacy Janes" <<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>> wrote:</p>
<blockquote style="border:none; border-left:solid #CCCCCC 1.0pt; padding:0cm 0cm 0cm 6.0pt; margin-left:4.8pt; margin-right:0cm">
<div>
<div>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">Jeremiah,</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">The calls are typically 7am CET.</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">Stacy</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<div style="border:none; border-top:solid #B5C4DF 1.0pt; padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style=""><b><span style="font-family:Calibri; color:black">From:
</span></b><span style="font-family:Calibri; color:black">Jeremiah Foster <<a href="mailto:jeremiah.foster@pelagicore.com" target="_blank">jeremiah.foster@pelagicore.com</a>><br>
<b>Date: </b>Wednesday, August 10, 2016 at 9:26 PM<br>
<b>To: </b>"Gunnar Andersson ()" <<a href="mailto:gunnar.x.andersson@volvocars.com" target="_blank">gunnar.x.andersson@volvocars.com</a>><br>
<b>Cc: </b>"<a href="mailto:tal.bendavid@karambasecurity.com" target="_blank">tal.bendavid@karambasecurity.com</a>" <<a href="mailto:tal.bendavid@karambasecurity.com" target="_blank">tal.bendavid@karambasecurity.com</a>>, "<a href="mailto:peter_yang@trend.com.tw" target="_blank">peter_yang@trend.com.tw</a>"
 <<a href="mailto:peter_yang@trend.com.tw" target="_blank">peter_yang@trend.com.tw</a>>, Yoram Berholtz <<a href="mailto:yoram@argus-sec.com" target="_blank">yoram@argus-sec.com</a>>, "<a href="mailto:anuja@computer.org" target="_blank">anuja@computer.org</a>"
 <<a href="mailto:anuja@computer.org" target="_blank">anuja@computer.org</a>>, "<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a>" <<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a>>,
 "<a href="mailto:assaf.harel@karambasecurity.com" target="_blank">assaf.harel@karambasecurity.com</a>" <<a href="mailto:assaf.harel@karambasecurity.com" target="_blank">assaf.harel@karambasecurity.com</a>>, Antonio De Rosa <<a href="mailto:Antonio.DeRosa@opensynergy.com" target="_blank">Antonio.DeRosa@opensynergy.com</a>>,
 Stacy Janes <<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>><br>
<b>Subject: </b>Re: [GENIVI security group] Security group assessment method discussion</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<div>
<p>So it's the 18th of August? At what time? </p>
<div>
<p class="MsoNormal" style=""> </p>
<div>
<p class="MsoNormal" style="">On Aug 10, 2016 8:00 PM, "Andersson, Gunnar" <<a href="mailto:gunnar.x.andersson@volvocars.com" target="_blank">gunnar.x.andersson@volvocars.com</a>> wrote:</p>
<blockquote style="border:none; border-left:solid #CCCCCC 1.0pt; padding:0cm 0cm 0cm 6.0pt; margin-left:4.8pt; margin-top:5.0pt; margin-right:0cm; margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style="">Bi-weekly. Got it. Going back to sleep.<br>
<br>
--  </p>
<div>
<p class="MsoNormal" style="">Sent from phone - please excuse brevity.</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
On Aug 11, 2016, at 01:45, Stacy Janes <<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>> wrote:</p>
</div>
<blockquote style="margin-top:5.0pt; margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">Gunnar,
</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">It should be in one week + 6 hours from now :-}  The last call was on Aug 4.</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri">Stacy</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:Calibri"> </span></p>
<div style="border:none; border-top:solid #B5C4DF 1.0pt; padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style=""><b><span style="font-family:Calibri; color:black">From:
</span></b><span style="font-family:Calibri; color:black">"Andersson, Gunnar" <<a href="mailto:gunnar.x.andersson@volvocars.com" target="_blank">gunnar.x.andersson@volvocars.com</a>><br>
<b>Date: </b>Wednesday, August 10, 2016 at 7:09 PM<br>
<b>To: </b>Stacy Janes <<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>><br>
<b>Cc: </b>"<a href="mailto:anuja@computer.org" target="_blank">anuja@computer.org</a>" <<a href="mailto:anuja@computer.org" target="_blank">anuja@computer.org</a>>, "<a href="mailto:tal.bendavid@karambasecurity.com" target="_blank">tal.bendavid@karambasecurity.com</a>"
 <<a href="mailto:tal.bendavid@karambasecurity.com" target="_blank">tal.bendavid@karambasecurity.com</a>>, "<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a>" <<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a>>,
 "<a href="mailto:peter_yang@trend.com.tw" target="_blank">peter_yang@trend.com.tw</a>" <<a href="mailto:peter_yang@trend.com.tw" target="_blank">peter_yang@trend.com.tw</a>>, Yoram Berholtz <<a href="mailto:yoram@argus-sec.com" target="_blank">yoram@argus-sec.com</a>>,
 "<a href="mailto:assaf.harel@karambasecurity.com" target="_blank">assaf.harel@karambasecurity.com</a>" <<a href="mailto:assaf.harel@karambasecurity.com" target="_blank">assaf.harel@karambasecurity.com</a>>, Antonio De Rosa <<a href="mailto:Antonio.DeRosa@opensynergy.com" target="_blank">Antonio.DeRosa@opensynergy.com</a>>,
 "Feuer, Magnus" <<a href="mailto:mfeuer1@jaguarlandrover.com" target="_blank">mfeuer1@jaguarlandrover.com</a>><br>
<b>Subject: </b>Re: [GENIVI security group] Security group assessment method discussion</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<div>
<div>
<p class="MsoNormal" style="">Sorry for an unrelated topic but I did not find any WebEx scheduled tomorrow and I have been searching for an email with the customary "Next meeting time" and/or a wiki page with minutes. </p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">Is there a security meeting planned at the usual time (in 6 hours from now)? Apologies if I missed some correspondence or did not know where to look. <br>
<br>
- Gunnar<br>
--  </p>
<div>
<p class="MsoNormal" style="">Sent from phone - please excuse brevity.</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
On Aug 4, 2016, at 00:53, Feuer, Magnus <<a href="mailto:mfeuer1@jaguarlandrover.com" target="_blank">mfeuer1@jaguarlandrover.com</a>> wrote:</p>
</div>
<blockquote style="margin-top:5.0pt; margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style="">Hello Stacy, and welcome to GENIVI. </p>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">Since we at the RVI expert group are in the middle of putting together a PKI system to be used on top of our existing (TLS-based) security, I think we would be a good first candidate to run through the process</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">Ulf Wiger is formally responsible for the effort, although we are doing this as a team of about 5-6 people.</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">Since we are still in the design phase of PKI, we don't really have any documentation yet. Would it, as a starter, be possible to bring you in on a conf call where we walk you through the current state of our ideas?</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">Sincerely,</p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style="">/Magnus F.</p>
</div>
</div>
<div>
<p class="MsoNormal" style=""><br clear="all">
</p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style=""><span style="font-size:10.0pt">-------------------</span></p>
</div>
<p class="MsoNormal" style=""><i><span style="font-size:10.0pt">Head System Architect - Open Source Projects<br>
</span></i><b><span style="font-size:10.0pt">Jaguar Land Rover</span></b><span style="font-size:10.0pt"><br>
<br>
<b>Email</b>: <a href="mailto:mfeuer1@jaguarlandrover.com" target="_blank"><span style="color:#1155CC">mfeuer1@jaguarlandrover.com</span></a> <br>
<b>Mobile</b>: <a href="tel:%2B1%20949%20294%207871" target="_blank">+1 949 294 7871</a></span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-size:10.0pt"> </span></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><img border="0" width="190" height="42" id="_x0000_i1026" src="http://www.jaguarlandrover.com/email/jlr.jpg"></p>
<div>
<p class="MsoNormal" style=""><span style="font-size:9.5pt">Jaguar Land Rover North America, LLC</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-size:9.5pt">1419 NW 14th Ave, Portland, OR 97209<br>
-------------------<br>
</span><span style="font-size:7.5pt">Business Details:<br>
Jaguar Land Rover Limited<br>
Registered Office: Abbey Road, Whitley, Coventry CV3 4LF </span><span style="font-size:9.5pt">
</span></p>
<div>
<p class="MsoNormal" style=""><span style="font-size:7.5pt">Registered in England No: 1672070</span></p>
</div>
<p class="MsoNormal" style=""><span style="font-size:9.5pt"><br>
</span><span style="font-size:7.5pt">This e-mail and any attachments contain confidential information for a specific individual and purpose.  The information is private and privileged and intended solely for the use of the individual to whom it is addressed. 
 If you are not the intended recipient, please e-mail us immediately.  We apologise for any inconvenience caused but you are hereby notified that any disclosure, copying or distribution or the taking of any action in reliance on the information contained herein
 is strictly prohibited.<br>
<br>
This e-mail does not constitute an order for goods or services unless accompanied by an official purchase order.</span></p>
</div>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style=""> </p>
<div>
<p class="MsoNormal" style="">On Sun, Jul 31, 2016 at 8:58 AM, Stacy Janes <<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>> wrote:</p>
<blockquote style="border:none; border-left:solid #CCCCCC 1.0pt; padding:0cm 0cm 0cm 6.0pt; margin-left:4.8pt; margin-top:5.0pt; margin-right:0cm; margin-bottom:5.0pt">
<p class="MsoNormal" style="">Hello all,<br>
<br>
I would like to start the conversation on the methods the Security Team will use to construct a security analysis for projects by other GENIVI Expert Groups.  Below is a recommendation of the basic framework based on work I have done in the past.  All aspects
 are open to debate as I want to ensure we get to the best solution possible.  I suspect the process will be continuously fine tuned as we move forward.<br>
<br>
<br>
1. At the beginning of a new engagement with an Expert Group, the team members that will be involved in that assessment should read and understand the Architecture/Design from the EG as it exists.  The team will need to be in constant contact with Architect
 and other technical experts from the EG (calls, email, etc) during this phase.<br>
<br>
2. During this phase, the team to strive to acquire a detailed understanding of the following:<br>
       a. What assets does the architecture already have listed?<br>
       b. What data is stored by the system?<br>
       c. How is data handled by the system (in transit, in process, at rest)?<br>
       d. What interfaces does the system present to external systems?<br>
       e. What interfaces does the system utilize from external systems?<br>
       f. What existing security mitigations have already been built into the system (secure storage, cryptographic keys, security functions)?<br>
<br>
3. From the above, the security team will be able to gather the first round of assets and document them.<br>
<br>
4. The security team documents their understanding of the architecture/design, including the assets that are known at this point.  For each asset, the document should include a description of the asset, their importance and the result of them being compromised. 
 This is then presented back to the client EG for review to ensure everyone has a common understanding of the system.<br>
<br>
5. The next step is to go through the process of discovering the attack vectors that would be viable against the system.  For this part of the process, I prefer to use Attack Trees (<a href="https://www.schneier.com/academic/archives/1999/12/attack_trees.html" target="_blank">https://www.schneier.com/academic/archives/1999/12/attack_trees.html</a>). 
 These are not only good for the assessor to work out all of the possible attack vectors, but we have found them to be very useful for non-security people to understand how we get to certain attack vectors.  Attack Trees will also help the team divide up the
 analysis work, as the different sub-trees can be handled by individual team members.<br>
<br>
6. The detailed analysis through attack trees will expose more assets that will need to be documented similar to the original list.<br>
<br>
7. For each attack vector, we use a STRIDE (see below) description and document the difficultly and result of an exploit of that vector.  The HEAVENS Security Model has a good approach for using STRIDE to document automotive risk assessments and I think we
 can borrow from that.  There is a short overview of HEAVENS in Appendix A.1.5 of J3061.<br>
<br>
8. Typically, in a commercial evaluation, the final document will contain suggested mitigations for all of the attack vectors exposed by the attack trees.  In the case of GENIVI however, I recommend the following:<br>
       a. Suggest mitigations in the form of architectural or design changes if appropriate<br>
       b. Suggest open-source mitigations (list benefits and limitations) if appropriate<br>
       c. Reference or create a specific security requirement (from our that can be used to determine commercial mitigations in the final product.<br>
<br>
9. Mitigations and architectural/design changes can introduce new assets.  These and the threats to them need to be documented as above.<br>
<br>
10. Any new requirements generated as part of ‘c’ will be integrated into the existing security requirements document if appropriate.<span style="font-family:MingLiU"><br>
<br>
<br>
</span>Before we engage on the first assessment, those of us with experience doing this type of work can present the various aspects (how to determine a security asset, how to create an attack tree) to the team.  From there, I think we could start on a small
 project to work out the kinks and figure out what needs to be changed.<br>
<br>
Also, in the last call, we discussed implementing “Compliance and Robustness” rules as a way to document our security requirements where all of the requirements are listed in the “robustness rules” and the “compliance rules” map specific types of features to
 specific requirements.  If we are in agreement on this, we should start with the existing security requirements list and see how they logically break up.<span style="font-family:MingLiU"><br>
<br>
<br>
</span>Description of STRIDE:<span style="font-family:MingLiU"><br>
</span>• Spoofing identity: An example of identity spoofing is illegally accessing and then using another user's authentication information, such as username and password.<br>
• Tampering with data: Data tampering involves the malicious modification of data. Examples include unauthorized changes made to persistent data, such as that held in a database, and the alteration of data as it flows between two computers over an open network,
 such as the Internet.<br>
• Repudiation: Repudiation threats are associated with users who deny performing an action without other parties having any way to prove otherwise—for example, a user performs an illegal operation in a system that lacks the ability to trace the prohibited operations. Nonrepudiation refers
 to the ability of a system to counter repudiation threats. For example, a user who purchases an item might have to sign for the item upon receipt. The vendor can then use the signed receipt as evidence that the user did receive the package.<br>
• Information disclosure: Information disclosure threats involve the exposure of information to individuals who are not supposed to have access to it—for example, the ability of users to read a file that they were not granted access to, or the ability of an
 intruder to read data in transit between two computers.<span style="font-family:MingLiU"><br>
</span>• Denial of service: Denial of service (DoS) attacks deny service to valid users—for example, by making a Web server temporarily unavailable or unusable. You must protect against certain types of DoS threats simply to improve system availability and
 reliability.<span style="font-family:MingLiU"><br>
</span>• Elevation of privilege: In this type of threat, an unprivileged user gains privileged access and thereby has sufficient access to compromise or destroy the entire system. Elevation of privilege threats include those situations in which an attacker
 has effectively penetrated all system defenses and become part of the trusted system itself, a dangerous situation indeed.<br>
<br>
Discuss :-}<br>
<br>
Stacy Janes<br>
Security Group<br>
<br>
<br>
<br>
_______________________________________________<br>
genivi-projects mailing list<br>
<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a><br>
<a href="http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects" target="_blank">http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects</a></p>
</blockquote>
</div>
<p class="MsoNormal" style=""> </p>
</div>
</div>
</blockquote>
<blockquote style="margin-top:5.0pt; margin-bottom:5.0pt">
<div>
<p class="MsoNormal" style="">_______________________________________________<br>
genivi-projects mailing list<br>
<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a><br>
<a href="http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects" target="_blank">http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects</a></p>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
genivi-projects mailing list<br>
<a href="mailto:genivi-projects@lists.genivi.org" target="_blank">genivi-projects@lists.genivi.org</a><br>
<a href="http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects" target="_blank">http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects</a></p>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
genivi-projects mailing list<br>
<a href="mailto:genivi-projects@lists.genivi.org">genivi-projects@lists.genivi.org</a><br>
<a href="http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects" target="_blank">http://lists.genivi.org/cgi-bin/mailman/listinfo/genivi-projects</a></p>
</blockquote>
</div>
<p class="MsoNormal"> </p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>
TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential 
and may be subject to copyright or other intellectual property protection. 
If you are not the intended recipient, you are not authorized to use or 
disclose this information, and we request that you notify us by reply mail or
telephone and delete the original message from your mail system.
</pre></td></tr></table></pre></font></td></tr></table>