Video: One Way Street (November 2024)
Wanneer een inbreker een baksteen door het raam van een juwelier gooit en met de voorraad vandoor gaat, is zijn winst aanzienlijk minder dan de verliezen van de juwelier. De dief moet de items onder hun werkelijke waarde afschermen, omdat ze 'hot' zijn. De juwelier heeft niet alleen de waarde van de koopwaar verloren, hij moet ook betalen voor een nieuw venster. Evenzo kan een cyberboef die een miljoen creditcardnummers steelt, ze voor een paar duizend dollar verkopen; het melden van een miljoen klanten en het instellen van nieuwe kaarten kost de kaartuitgever veel meer.
Deze ongelijkheid leidde tot een idee voor Stefan Frei, Research Vice President bij NSS Labs. De meeste cyberaanvallen kraken de beveiliging van het slachtofferbedrijf door misbruik te maken van een soort kwetsbaarheid in het besturingssysteem of andere software. Wat als we dat gereedschap van de boeven konden wegnemen? In een gedetailleerd onderzoeksartikel beschrijven Frei en collega-analist Francisco Artes het gewaagde idee van het creëren van een International Vulnerability Purchase Program (IVPP) dat meer zou betalen voor kwetsbaarheden dan de boeven zich kunnen veroorloven.
De nummers uitvoeren
Verschillende experts bieden verschillende schattingen van financiële verliezen wereldwijd als gevolg van cybercriminaliteit, maar ze variëren tussen tientallen miljarden en honderden miljarden. Frei beheerde de aantallen kwetsbaarheden die in 2012 zijn gepubliceerd en ontdekte dat de kosten om elk te kopen voor $ 150.000 aanzienlijk lager zouden zijn geweest dan de hoeveelheid financiële schade die ze hadden veroorzaakt.
Laten we eerst kijken naar de hoogste kosten en het laagste rendement. Stel dat de IVPP $ 150.000 heeft betaald voor elke kwetsbaarheid, ongeacht de ernst of prevalentie van de betrokken software en daarmee tien miljard aan financiële verliezen heeft voorkomen. De kosten van aankoop zijn iets minder dan 8 procent van de verliezen in dit worst-case scenario.
Echter, een derde van de geëxploiteerde kwetsbaarheden werd in programma's gevonden door de top tien van leveranciers. Alleen al die betalen en een schatting van 100 miljard voor verliezen accepteren, de kosten dalen tot 0, 3 procent van de verloren waarde. Een schaalverdeling op basis van ernst zou ook de kosten verlagen. Ter vergelijking: in het rapport wordt opgemerkt dat retailbedrijven in de VS verwachten 1, 5 tot 2, 0 procent van hun jaarlijkse omzet te verliezen als gevolg van diefstal of 'voorraadkrimp'.
In het rapport werd ook vastgesteld dat de kosten van het kopen van alle kwetsbaarheden in 2012 ongeveer 0, 005 procent van het bbp van de VS of het bbp van de Europese Unie zouden bedragen, en minder dan 0, 3 procent van de totale inkomsten voor de software-industrie.
Beveiligingsgaten zijn hier om te blijven
Een deel van het artikel bespreekt de huidige situatie met betrekking tot softwarekwetsbaarheden. Simpel gezegd, zelfs als het mogelijk zou zijn om foutloze software te schrijven, zou het niet winstgevend zijn. De grote kosten van een datalek liggen bij het bedrijf dat is geschonden, niet bij de leverancier van de gebrekkige software. In zakelijke termen zijn die kosten een 'negatieve externaliteit' voor de softwareleverancier en 'winstgestuurde bedrijven investeren niet in het elimineren van negatieve externe effecten'.
Het is denkbaar dat gebruikers het probleem kunnen forceren door te weigeren software te kopen van leveranciers van software met beveiligingslekken. In de praktijk zijn kwetsbaarheden echter de norm. We verwachten ze allemaal, en ze gaan niet weg. Het rapport merkt op dat "er geen wettelijke aansprakelijkheid is voor de kwaliteit van de software en dat dit waarschijnlijk niet snel zal veranderen."
De onderzoeker die een nieuw beveiligingslek ontdekt, kan dit rustig indienen bij de verkoper, het publiekelijk aankondigen of het verkopen aan de hoogste bieder. Een eerder onderzoek van NSS Labs meldde een bloeiend wederverkoopbedrijf voor zwarte-marktexploitanten. Het rapport merkt op dat het veel erger zou zijn, maar dat veel beveiligingsonderzoekers altruïstisch afzien van verkopen aan zwarte marketeers.
Boeven kunnen niet concurreren
In een wereld van vraag en aanbod zou je kunnen denken dat de boeven gewoon zouden concurreren met de goeden en meer zouden bieden op geheel nieuwe kwetsbaarheden. Het rapport wijst erop dat dezelfde ongelijkheid tussen kleine winst voor de boeven en groot verlies voor de slachtoffers betekent dat de boeven gewoon niet kunnen concurreren. Ze kunnen niet meer bieden dan hun maximale verwachte inkomsten, terwijl een IVPP veel meer zou kunnen betalen om kolossale verliezen te voorkomen.
In feite zou de substantiële beloning voor nieuw gevonden beveiligingslekken waarschijnlijk leiden tot meer ontdekkingen. Een onderzoeker wiens enige potentiële beloning een schouderklopje, T-shirt of een paar honderd dollar is, is gewoon niet zo gemotiveerd. Als je aan de koperen ring grijpt, krijg je $ 150.000, dat is een ander verhaal.
Grote plannen
Het volledige rapport biedt een gedetailleerd voorstel over hoe een internationaal aankoopprogramma voor kwetsbaarheden zou werken. Het omvat alles van wie zou betalen, hoe rapportage zou gebeuren, tot de volledige organisatiestructuur en meer.
Zal het gebeuren? Dat valt nog maar te bezien. Maar dit zeer grondig doordachte rapport overtuigt me dat het echt zou kunnen werken.
