Acasă Securitywatch Depășirea escrocherilor: o modalitate de a încheia exploatările

Depășirea escrocherilor: o modalitate de a încheia exploatările

Video: Rorschach Prison Cell Scene | Watchmen (2009) Movie Clip 4K (Noiembrie 2024)

Video: Rorschach Prison Cell Scene | Watchmen (2009) Movie Clip 4K (Noiembrie 2024)
Anonim

Când un jefuitor aruncă o cărămidă prin fereastra unui bijutier și se scoate din stoc, câștigurile sale sunt substanțial mai mici decât pierderile bijutierului. Hoțul va trebui să închidă obiectele sub valoarea lor reală, din moment ce sunt „fierbinți”. Bijutierul nu numai că a pierdut valoarea mărfii, ci trebuie să plătească pentru o nouă fereastră. În același punct, un cyber-escroc care fură un milion de numere de cărți de credit le-ar putea vinde pentru câteva mii de dolari; notificarea unui milion de clienți și setarea acestora cu carduri noi va costa mult mai mult emitentul cardului.

Această diferență a stârnit o idee pentru Ștefan Frei, vicepreședinte de cercetare la Laboratoarele NSS. Majoritatea atacurilor cibernetice strică securitatea companiei victime prin exploatarea unui tip de vulnerabilitate în sistemul de operare sau alt software. Ce se întâmplă dacă am putea scoate acel instrument de la escroci? Într-o lucrare de cercetare detaliată, Frei și colegul analist Francisco Artes au explicat ideea îndrăzneață de a crea un program internațional de cumpărare a vulnerabilităților (IVPP) care ar plăti mai mult pentru vulnerabilități decât își pot permite escrocii.

Rularea numerelor

Diferitele pundituri oferă estimări diferite ale pierderilor financiare la nivel mondial din cauza infracțiunilor informatice, dar acestea variază între zeci de miliarde și sute de miliarde. Frei a calculat numărul de vulnerabilități publicat în 2012 și a constatat că costul de achiziție a fiecăruia pentru 150.000 de dolari ar fi fost mult mai mic decât valoarea daunelor financiare pe care le-au provocat.

În primul rând, să ne uităm la cel mai mare cost și la cel mai mic randament. Să presupunem că IVPP a plătit 150.000 USD pentru fiecare vulnerabilitate, indiferent de gravitatea sau prevalența software-ului implicat și astfel a evitat pierderi financiare de zece miliarde. Costul de achiziție este sub 8% din pierderi în acest caz cel mai rău.

Cu toate acestea, o treime din vulnerabilitățile exploatate au fost găsite în programele de către cei mai buni zece furnizori. Doar plătind pentru acestea și acceptând o estimare de 100 de miliarde pentru pierderi, costul scade la 0, 3 la sută din valoarea pierdută. O scară de plată absolută bazată pe gravitate ar reduce, de asemenea, costurile. Ca o comparație, raportul notează că companiile de vânzare cu amănuntul din SUA se așteaptă să piardă de la 1, 5 până la 2, 0 la sută din vânzările anuale în urma transferului sau „contracției stocurilor”.

Raportul a mai constatat că costul achiziționării tuturor vulnerabilităților în 2012 ar fi fost de aproximativ 0, 005 la sută din PIB-ul SUA sau PIB-ul Uniunii Europene și sub 0, 3 la sută din veniturile totale pentru industria software.

Găurile de securitate sunt aici pentru a rămâne

O parte a lucrării examinează situația actuală în ceea ce privește vulnerabilitățile software. Mai simplu spus, chiar dacă ar fi posibil să scrie software fără defecte, nu ar fi profitabil. Marele cost al unei încălcări de date revine companiei care a fost încălcată, nu a furnizorului de software defectat. În termeni de afaceri, costul este o „externalitate negativă” pentru furnizorul de software, iar „întreprinderile bazate pe profit nu investesc în eliminarea externalităților negative”.

Utilizatorii pot convinge problema să refuze achiziționarea de software de la furnizorii de software care conțin gauri de securitate. În practică, însă, vulnerabilitățile sunt norma. Toți îi așteptăm și nu vor pleca. Raportul menționează că "nu există nicio răspundere legală pentru calitatea software-ului, și este puțin probabil să se schimbe în curând."

Cercetătorul care descoperă o nouă gaură de securitate îl poate transmite în liniște vânzătorului, îl poate anunța public sau îl poate vinde celui mai mare ofertant. Un studiu NSS Labs anterior a raportat o afacere prosperă de revânzare pentru exploatările pieței negre. Raportul menționează că lucrurile ar fi mult mai grave, dar pentru faptul că mulți cercetători în domeniul securității se abțin altruist de la vânzarea către marketerii negri.

Crooks nu poate concura

Într-o lume a cererii și a cererii, s-ar putea să credeți că escrocii ar concura doar cu băieții buni, licitând mai mult pentru vulnerabilități nou-nouț. Raportul subliniază că aceeași diferență între câștigul mic și pierderea mare pentru victime înseamnă că escrocii pur și simplu nu pot concura. Acestea nu pot oferi mai mult decât venitul maxim anticipat, în timp ce un IVPP ar putea plăti mult mai mult pentru a evita pierderile colosale.

De fapt, recompensa substanțială pentru găurile de securitate recent găsite ar duce probabil la mai multe descoperiri. Un cercetător a cărui singură recompensă potențială este un pat pe spate, un tricou sau câteva sute de dolari nu este la fel de motivat. Când apucă inelul de alamă primești 150.000 de dolari, aceasta este o poveste diferită.

Planuri mari

Raportul complet oferă o propunere detaliată pentru funcționarea unui program internațional de cumpărare a vulnerabilităților. Acesta acoperă tot, de la cine ar plăti, la modul în care raportarea s-ar întâmpla, la structura organizatorică completă și multe altele.

Se va întâmpla? Asta rămâne de văzut. Dar acest raport foarte amănunțit, mă convinge că într-adevăr ar putea funcționa.

Depășirea escrocherilor: o modalitate de a încheia exploatările