Video: Petra Vlhova | Ladies' Slalom | Levi | 2nd place | FIS Alpine (Septembra 2024)
Keď lupič hodí tehlu cez okno klenotníka a rozdá sa so zásobou, jeho zisky sú podstatne menšie ako straty klenotníka. Zlodej bude musieť oplotiť položky pod ich skutočnou hodnotou, pretože sú „horúce“. Klenotník nielenže stratil hodnotu tovaru, ale musí zaplatiť aj za nové okno. Rovnako tak kybernetický podvodník, ktorý kradne milión čísel kreditných kariet, ich môže predať za niekoľko tisíc dolárov; upozornenie milióna zákazníkov a ich nastavenie pomocou nových kariet bude vydavateľa kariet stáť oveľa viac.
Táto nerovnosť vyvolala nápad pre Stefana Freiho, viceprezidenta pre výskum v laboratóriách NSS. Väčšina počítačových útokov narušuje bezpečnosť spoločnosti obete využívaním určitého typu zraniteľnosti v operačnom systéme alebo inom softvéri. Čo keby sme mohli ten nástroj odobrať z podvodníkov? V podrobnom výskume Frei a ďalší analytik Francisco Artes vysvetlili odvážnu myšlienku vytvorenia medzinárodného programu nákupu zraniteľností (IVPP), ktorý by platil viac za zraniteľné miesta, ako si môžu dovoliť podvodníci.
Spustenie čísel
Rôzni odborníci ponúkajú rôzne odhady finančných strát na celom svete v dôsledku počítačovej kriminality, pohybujú sa však medzi desiatkami a stovkami miliárd. Frei spustil čísla týkajúce sa zraniteľností uverejnené v roku 2012 a zistil, že náklady na nákup každého za 150 000 dolárov by boli výrazne nižšie ako výška finančnej škody, ktorú spôsobili.
Najprv sa pozrime na najvyššiu cenu a najnižšiu návratnosť. Predpokladajme, že IVPP zaplatil 150 000 dolárov za každú zraniteľnosť bez ohľadu na závažnosť alebo prevalenciu príslušného softvéru, čím sa predišlo finančným stratám vo výške desať miliárd. Náklady na nákup sú v tomto najhoršom prípade takmer 8% strát.
Úplnú tretinu zneužívaných zraniteľností však našli v programoch desať najlepších predajcov. Len za tieto náklady a akceptovaním odhadu strát vo výške 100 miliárd sa náklady znížia na 0, 3 percenta stratenej hodnoty. Odstupňovaná stupnica platby založená na závažnosti by tiež znížila náklady. V porovnaní sa v správe uvádza, že maloobchodné spoločnosti v USA očakávajú, že stratia 1, 5 až 2, 0 percenta z ročného obratu na ukradnutie alebo „zníženie zásob“.
V správe sa tiež zistilo, že náklady na nákup všetkých zraniteľností by v roku 2012 boli približne 0, 005% HDP USA alebo HDP Európskej únie a menej ako 0, 3% celkových príjmov pre softvérový priemysel.
Bezpečnostné diery sú tu na pobyt
Časť príspevku skúma súčasnú situáciu, pokiaľ ide o zraniteľné miesta v softvéri. Jednoducho povedané, aj keď by bolo možné písať bezchybný softvér, nebolo by to výhodné. Veľké náklady na porušenie údajov majú na spoločnosti, ktorá bola porušená, a nie na dodávateľa chybného softvéru. Z obchodného hľadiska sú tieto náklady pre výrobcu softvéru „negatívnou externalitou“ a „podniky zamerané na zisk neinvestujú do odstránenia negatívnych externalít“.
Je možné, že používatelia by mohli problém prinútiť odmietnutím nákupu softvéru od dodávateľov softvéru obsahujúceho bezpečnostné diery. V praxi sú však zraniteľnosť normou. Všetci ich očakávame a neodchádzajú. V správe sa uvádza, že „za kvalitu softvéru neexistuje žiadna zákonná zodpovednosť a je nepravdepodobné, že sa to čoskoro zmení.“
Výskumník, ktorý objaví novú bezpečnostnú dieru, ju môže ticho predložiť predajcovi, vyhlásiť to verejne alebo ho predať dražiteľovi s najvyššou ponukou. Predchádzajúca štúdia spoločnosti NSS Labs informovala o prosperujúcom podnikaní v oblasti ďalšieho predaja čierneho trhu. V správe sa uvádza, že by to bolo oveľa horšie, ale skutočnosť, že mnoho výskumných pracovníkov v oblasti bezpečnosti altruisticky upúšťa od predaja čiernym obchodníkom.
Podvodníci nemôžu súťažiť
Vo svete ponuky a dopytu by ste si mohli myslieť, že podvodníci by jednoducho súťažili s dobrými chlapmi a ponúkali viac za úplne nové zraniteľné miesta. Správa poukazuje na to, že rovnaký rozdiel medzi malým ziskom pre podvodníkov a veľkou stratou pre obete znamená, že podvodníci jednoducho nemôžu súťažiť. Nemôžu ponúknuť viac, ako je ich maximálny predpokladaný príjem, zatiaľ čo IVPP môže platiť oveľa viac, aby sa predišlo stratám v kolosálnom veku.
V skutočnosti by podstatná odmena za novo nájdené bezpečnostné diery pravdepodobne viedla k ďalším objavom. Výskumník, ktorého jedinou možnou odmenou je potľapkanie po chrbte, tričko alebo pár stoviek dolárov, nie je tak motivovaný. Keď vás chytí mosadzný prsteň, získate 150 000 dolárov, to je iný príbeh.
Veľké plány
Úplná správa ponúka podrobný návrh, ako bude fungovať medzinárodný program nákupu zraniteľností. Zahŕňa všetko od toho, kto by platil, až po spôsob podávania správ, až po úplnú organizačnú štruktúru a ďalšie.
Stane sa to? To ešte treba vidieť. Táto veľmi dôkladne premyslená správa ma však presviedča, že to naozaj môže fungovať.
