<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='color:#1F497D'>>
</span>1) When In January I should delivered the book?<br>
<span style='color:#1F497D'>> </span>2) Should I add only complete
articles??<span style='color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>I think this should be as
soon as possible.  Dinis will have to share the procedure for making a PDF
from the Wiki.  I think we should include ALL the articles, and that we
should call this an “alpha” or “beta” or “working
draft” or something.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
<span style='color:#1F497D'>> </span>Once I got it, I'll outline the
sections that an article of a category must have.<br>
<span style='color:#1F497D'>> </span>EG: An attack article should have those
sections: Description, Severity, likelihood of exploitation, examples,<span
style='color:#1F497D'><br>
> </span>references, related threats,  vulnerabilities,  attacks
and countermeasure. <span style='color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>I agree with this completely.
I think each type of article (threat agent, attack, vulnerability, etc..) will
have slightly different sections.  I have some specific ideas about “severity”
and “likelihood” – I’d like to get them consistent with
the OWASP Risk Rating Methodology in the Testing Guide.  Threat Agents,
Attacks, and Vulnerabilities have likelihood attributes.  Countermeasures
have a difficulty to implement.  And Technical and Business impact have impact
attributes.  Only taken together can you assemble the “severity”
of a risk.  It makes absolutely no sense to talk about the severity of an
attack or vulnerability with no context.  That’s what the scanner
and static analysis tools try to do, but it’s ridiculous.  For
example, is SQL injection critical?  Not if it’s a read only
database table with non-sensitive information in it.</span><br>
<br>
<span style='color:#1F497D'>> </span>According to Jeff, we are still missing
the "related agent",  "technical impact" and
"business impact" sections, right?<br>
<span style='color:#1F497D'>> </span>Then, I think we should remove Severity
and likelihood of exploitation sections and create a common<span
style='color:#1F497D'> </span>outline for all reference articles based on the
above.. All article will have the same sections no matter which global category
it belongs to. <br>
3) Do you think a general outline fit all articles requirements?<br>
<br>
<span style='color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>Can you put together a standard
outline for each of the article types in the Honeycomb?  Then we can discuss. 
I don’t think ANY of them should have a severity section.  Just
likelihood factors or impact factors.  I think the rest of the proposed
sections are okay.  The related articles are interesting.  I would
expect that a threat agent article would link to the articles on the set of
attacks that they are capable of executing.  The attacks would link back
to the threat agents, and forwards to the vulnerabilities that the attack
targets.  The vulnerabilities would link back to the vulnerabilities, and
forward to the countermeasures involved and the technical impacts.  The
countermeasures would link back to vulnerabilities and also to technical
impacts.  The technical impacts would link back to vulnerabilities and
countermeasures, and forward to business impacts.  The business impacts would
link back to related technical impacts.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
Observe that if I outline the sections after compiling the book, we'll have
different sections even for articles of the same category (except by attack
category that Rezos and me normalized for SPoC). However, it's not feasible to
review sections for all completed articles and compile the book for January.<br>
4) How should I proceed: 1- Outline sections and make call for volunteers
or  2- Compile the book with online content and make CFV in the end of
January?<span style='color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>Ah – now I
understand.  I think we should organize the outline first and do a quick
organization of the articles we have.  Then publish and call for
volunteers.  Even if this means we have to push out the first published version. 
Otherwise, we’ll just print crap and get all the volunteers confused
about what they’re supposed to be doing.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
I don't want to be narrow-minded with those long emails, but just get things
clear enough so we avoid future headaches and unneeded discussions. <o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>Please keep it up and push
this along.  This is exactly what this project needs.  Thanks,<o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:11.0pt;
font-family:"Calibri","sans-serif";color:#1F497D'>--Jeff<o:p></o:p></span></p>

<p class=MsoNormal><o:p> </o:p></p>

</div>

</body>

</html>