Video: Words at War: Combined Operations / They Call It Pacific / The Last Days of Sevastopol (Oktober 2024)
Når en innbruddstyver kaster en murstein gjennom en gullsmedvindu og stikker av med aksjen, er gevinstene hans vesentlig mindre enn gullsmedens tap. Tyven må gjerde gjenstandene under den faktiske verdien, siden de er "varme." Juveleren har ikke bare mistet verdien av varene, han må betale for et nytt vindu. På samme måte kan en cyber-skurk som stjeler en million kredittkortnumre selge dem for noen tusen dollar; å varsle en million kunder og sette dem opp med nye kort vil koste kortutstederen mye mer.
Denne misforholdet utløste en ide for Stefan Frei, forskningsdirektør ved NSS Labs. De fleste nettangrep sprekker offerbedriftens sikkerhet ved å utnytte en slags sårbarhet i operativsystemet eller annen programvare. Hva om vi kunne ta det verktøyet bort fra kjeltringene? I en detaljert forskningsartikkel uttaler Frei og stipendiat analytiker Francisco Artes den dristige ideen om å lage et internasjonalt program for kjøp av sårbarhet (IVPP) som vil betale mer for sårbarheter enn skurkene har råd til.
Kjører tallene
Ulike forståsegpåere tilbyr forskjellige estimater av økonomiske tap over hele verden på grunn av nettkriminalitet, men de varierer mellom titalls milliarder og hundrevis av milliarder. Frei kjørte tallene for sårbarheter som ble publisert i 2012 og fant ut at kostnadene for å kjøpe hver for $ 150 000 ville ha vært langt lavere enn mengden økonomisk skade de forårsaket.
La oss først se på de høyeste kostnadene og den laveste avkastningen. Anta at IVPP betalte $ 150 000 for alle sårbarheter uavhengig av alvorlighetsgrad eller utbredelse av programvaren som er involvert, og dermed unngått ti milliarder i økonomiske tap. Kostnadene for kjøp er i underkant av 8 prosent av tapene i dette verste fall.
Imidlertid ble en tredjedel av utnyttede sårbarheter funnet i programmer av de ti beste leverandørene. Bare å betale for disse, og akseptere et anslag på 100 milliarder for tap, går kostnadene ned til 0, 3 prosent av den tapte verdien. En gradert betalingsskala basert på alvorlighetsgrad vil også redusere kostnadene. Som sammenligning bemerker rapporten at detaljhandelsselskaper i USA forventer å tape 1, 5 til 2, 0 prosent av det årlige salget til pilferage eller "lager krymping."
Rapporten fant også at kostnadene for å kjøpe alle sårbarheter i 2012 ville vært omtrent 0, 005 prosent av USAs BNP eller EUs BNP, og under 0, 3 prosent av de totale inntektene for programvareindustrien.
Sikkerhetshull er her for å bli
En del av papiret gjennomgår dagens situasjon med hensyn til programvaresårbarheter. Enkelt sagt, selv om det var mulig å skrive feilfri programvare, ville det ikke være lønnsomt. Den store kostnaden for et datainnbrudd faller på selskapet som ble brutt, ikke på leverandøren av den mangelfulle programvaren. I forretningsmessige termer er den kostnaden en "negativ eksternalitet" for programvareleverandøren, og "gevinststyrte virksomheter investerer ikke i å eliminere negative eksternaliteter."
Det kan tenkes at brukere kan tvinge problemet ved å nekte å kjøpe programvare fra leverandører av programvare som inneholder sikkerhetshull. I praksis er sårbarheter imidlertid normen. Vi forventer dem alle, og de vil ikke gå bort. Rapporten bemerker at "det ikke er noe juridisk ansvar for kvaliteten på programvaren, og det vil neppe endre seg snart."
Forskeren som oppdager et nytt sikkerhetshull, kan stille stille det inn til leverandøren, kunngjøre det offentlig eller selge det til høystbydende. En tidligere studie fra NSS Labs rapporterte om en blomstrende videresalgsvirksomhet for svarte markedsutnyttelser. Rapporten bemerker at ting ville være mye verre, men for det faktum at mange sikkerhetsforskere altruistisk avstår fra å selge til svarte markedsførere.
Crooks kan ikke konkurrere
I en tilbud og etterspørsel verden, kan du tro at skurkene bare ville konkurrere med de gode gutta, og by mer for helt nye sårbarheter. Rapporten påpeker at den samme forskjellen mellom liten gevinst for kjeltringene og stort tap for ofrene gjør at skurkene rett og slett ikke kan konkurrere. De kan ikke tilby mer enn maksimalt forventet inntekt, mens en IVPP kan betale mye mer for å unngå kolossale tap.
Faktisk vil den betydelige belønningen for nylig funnet sikkerhetshull sannsynligvis føre til flere funn. En forsker hvis eneste belønning er en klapp på ryggen, T-skjorte eller noen hundre dollar bare ikke er så motivert. Når du tar tak i messingringen får du $ 150 000, - det er en annen historie.
Store planer
Den komplette rapporten gir et detaljert forslag for hvordan et internasjonalt kjøpsprogram for sårbarheter ville fungere. Den dekker alt fra hvem som vil betale, til hvordan rapportering ville skje, til hele organisasjonsstrukturen og mer.
Vil det skje? Det gjenstår å se. Men denne veldig gjennomtenkte rapporten overbeviser meg om at den virkelig kunne fungere.
