Videó: Among Us but WE MADE A NEW ROLE (November 2024)
Amikor a betörő egy téglát dob az ékszerész ablakon, és elkészíti a készlettel, nyeresége lényegesen kisebb, mint az ékszerész vesztesége. A tolvajnak el kell kerítenie az elemeket a tényleges értékük alatt, mivel "melegek". Az ékszerész nem csak az áru értékét veszítette el, hanem új ablakért fizetnie kell. Ugyanígy, egy millió hitelkártya-számot ellopó számítógépes csaló néhány ezer dollárért eladhatja őket; Egy millió ügyfél értesítése és új kártyákkal való felállítása sokkal több költséget jelent a kártya kibocsátójának.
Ez az eltérés ötletet adott Stefan Frei-nek, az NSS Labs kutatási alelnökének. A legtöbb számítógépes támadás az operációs rendszer vagy más szoftver bizonyos típusú sebezhetőségének kihasználásával támadja meg az áldozatok társaságának biztonságát. Mi lenne, ha el is távolíthatnánk ezt az eszközt a csalóktól? Frei és Francisco Artes elemzője egy részletes kutatási cikkben merész ötletet fogalmazott meg egy Nemzetközi Sebezhetőségi Beszerzési Program (IVPP) létrehozására, amely többet fizetne a sebezhetőségekért, mint a csalók engedhetik meg maguknak.
A számok futtatása
A különféle ügyfelek eltérő becsléseket kínálnak a számítógépes bűnözés miatt bekövetkező pénzügyi veszteségekre világszerte, ám tízmilliárd és százmilliárd között mozognak. A Frei a 2012-ben közzétett sebezhetőségi számokat felfedezte, és úgy találta, hogy mindegyik 150 000 dollár vásárlásának költségei rendkívül alacsonyabbak lennének, mint az általuk okozott pénzügyi kár.
Először nézzük meg a legmagasabb költségeket és a legalacsonyabb hozamot. Tegyük fel, hogy az IVPP minden egyes sebezhetőségért 150 000 dollárt fizetett, függetlenül a használt szoftver súlyosságától vagy előfordulásától, és ezzel elkerülte a tíz milliárd dolláros pénzügyi veszteséget. A beszerzési költség a veszteségek alig 8 százaléka ebben a legrosszabb esetben.
A kizsákmányolt sebezhetőségek teljesharmadát azonban a tíz legfontosabb gyártó fedezte fel a programokban. Csak azért, ha fizetnek érte, és elfogadják a 100 milliárd becsült veszteséget, a költségek az elveszített érték 0, 3 százalékára csökkennek. A fizetés súlyosságra alapozott fokozatos szintje szintén csökkentené a költségeket. Összehasonlításképpen: a jelentés megjegyzi, hogy az Egyesült Államokban a kiskereskedelmi vállalatok várhatóan elveszítik az éves eladások 1, 5–2, 0 százalékát a bérbeadásra vagy a „készlet-zsugorodásra”.
A jelentés azt is megállapította, hogy az összes sebezhetőség megvásárlásának költsége 2012-ben az Egyesült Államok GDP-jének vagy az Európai Unió GDP-jének körülbelül 0, 005 százaléka, és a szoftveripar teljes bevételének 0, 3 százaléka lett volna.
A biztonsági lyukak itt maradnak
A cikk egy része a szoftver sebezhetőségével kapcsolatos jelenlegi helyzetet ismerteti. Egyszerűen fogalmazva, még ha hibátlan szoftvert is lehetett volna írni, az nem lenne nyereséges. Az adatok megsértésének nagy költsége a megsértett társaságot terheli, nem pedig a hibás szoftver átadója. Üzleti szempontból ez a költség "negatív externalitás" a szoftvergyártó számára, és "a profitorientált vállalkozások nem fektetnek be a negatív externáliák kiküszöbölésébe".
Elképzelhető, hogy a felhasználók arra kényszeríthetik a problémát, hogy megtagadják a szoftverek vásárlását a biztonsági lyukakat tartalmazó szoftverek gyártóitól. A gyakorlatban azonban a sérülékenységek általában a szabályok. Mindannyian elvárjuk őket, és nem mennek el. A jelentés megjegyzi, hogy "a szoftver minőségéért nincs jogi felelősség, és ez valószínűleg nem változik hamarosan."
Az a biztonsági kutató, aki új biztonsági lyukat fedez fel, csendesen benyújthatja azt az eladónak, nyilvánosan bejelenti, vagy eladhatja a legmagasabb ajánlatot tevőnek. Egy korábbi NSS Labs tanulmány egy virágzó viszonteladói üzletről számolt be a fekete piac kihasználása érdekében. A jelentés megjegyzi, hogy a helyzet sokkal rosszabb lenne, de az a tény, hogy sok biztonsági kutató altruista módon tartózkodik az eladástól a fekete marketingszakembereknek.
Crooks nem tud versenyezni
A keresleti és kínálati világban azt gondolhatja, hogy a csalók csak a jó fiúkkal fognak versenyezni, és többet ajánlanak vadonatúj sebezhetőségekre. A jelentés rámutat arra, hogy ugyanaz a különbség a csalók kis nyeresége és az áldozatok nagy vesztesége között azt jelenti, hogy a csalók egyszerűen nem tudnak versenyezni. Nem tudnak a vártnál nagyobb bevételnél többet nyújtani, míg az IVPP sokkal többet fizethet a kolosszális veszteségek elkerülése érdekében.
Valójában az újonnan talált biztonsági lyukakért járó jelentős jutalom valószínűleg további felfedezésekhez vezet. Egy olyan kutató, akinek egyetlen lehetséges jutalma a hátoldalán lévő póló, póló vagy néhány száz dollár, csak nem olyan motivált. Ha megragadja a sárgaréz gyűrűt, 150 000 dollárt keres, ez egy másik történet.
Nagy tervek
A teljes jelentés részletes javaslatot nyújt arra, hogy miként működne egy nemzetközi biztonsági rés-beszerzési program. Mindenre kiterjed, kezdve a ki fizetéstől, a jelentéskészítés módjától a teljes szervezeti struktúráig és így tovább.
Meg fog történni? Ezt még látni kell. De ez a nagyon alaposan átgondolt jelentés meggyőzi, hogy valóban működhet.
