Video: Reporter Milan Psihiatrija Za Kadilce 2007 (November 2024)
Ko vlomilec vrže opeko skozi draguljarsko okno in se poravna z zalogo, so njegovi dobički bistveno manjši od draguljarskih izgub. Tatovi bodo morali predmete ograjevati pod njihovo dejansko vrednostjo, saj so "vroči." Nakit ni izgubil samo vrednosti blaga, moral je plačati za novo okno. Prav tako jih lahko kiber-prevarant, ki ukrade milijon številk kreditnih kartic, proda za nekaj tisoč dolarjev; obveščanje milijona kupcev in njihovo nastavitev z novimi karticami bo izdajatelja kartice stalo bistveno več.
To neskladje je sprožilo idejo za Stefana Freija, podpredsednika za raziskave v laboratorijih NSS. Večina kibernetskih napadov pokvari varnost podjetja žrtev z izkoriščanjem nekaterih vrst ranljivosti v operacijskem sistemu ali drugi programski opremi. Kaj če bi lahko to orodje odvzeli lopovcem? V podrobnem raziskovalnem prispevku sta Frei in kolega analitik Francisco Artes izpostavila drzno zamisel o oblikovanju mednarodnega programa nakupa ranljivosti (IVPP), ki bi za ranljivosti plačal več, kot si lahko nudijo prevaranti.
Vodenje številk
Različni razsodniki ponujajo različne ocene finančnih izgub po vsem svetu zaradi kibernetske kriminalitete, vendar se gibljejo med desetinami in stotimi milijardami. Frei je vodil številke o ranljivostih, objavljenih leta 2012, in ugotovil, da bi bili stroški nakupa vsake za 150.000 dolarjev precej nižji od zneska finančne škode, ki so jo povzročili.
Najprej si oglejmo najvišje stroške in najnižjo donosnost. Recimo, da je IVPP plačal 150.000 ameriških dolarjev za vsako ranljivost ne glede na resnost ali razširjenost vpletene programske opreme in se tako izognil deset milijardam finančnih izgub. Stroški nakupa so v tem najslabšem primeru slabih 8 odstotkov izgube.
Vendar pa je v tretjih najboljših prodajalcih našla popolnoma tretjino izkoriščenih ranljivosti. Samo plačilo teh stroškov in sprejemanje ocene v višini 100 milijard za izgube se stroški znižajo na 0, 3 odstotka izgubljene vrednosti. Stopna plačilna lestvica na podlagi resnosti bi tudi zmanjšala stroške. Kot primerjavo poročilo navaja, da trgovske družbe v ZDA pričakujejo, da bodo izgubile 1, 5 do 2, 0% letne prodaje v kraje ali "krčenje zalog".
Poročilo je tudi ugotovilo, da bi stroški nakupa vseh ranljivosti v letu 2012 znašali približno 0, 005 odstotka ameriškega BDP ali BDP Evropske unije in pod 0, 3 odstotka celotnega prihodka za programsko industrijo.
Varnostne luknje so tu, da ostanejo
Del prispevka obravnava trenutno stanje glede ranljivosti programske opreme. Preprosto povedano, tudi če bi bilo mogoče napisati programsko opremo brez napak, to ne bi bilo koristno. Veliki stroški kršitve podatkov padajo na podjetje, ki je bilo kršeno, ne na dobavitelja napačne programske opreme. V poslovnem smislu so ti stroški za proizvajalca programske opreme "negativna zunanja podoba" in "podjetja, ki temeljijo na dobičku, ne vlagajo v odstranjevanje negativnih zunanjih zunanjih učinkov."
Uporabniki bi to težavo lahko prisilili z zavrnitvijo nakupa programske opreme od prodajalcev programske opreme, ki vsebujejo varnostne luknje. V praksi pa so ranljivosti pravilo. Vsi jih pričakujemo in ne bodo odšli. Poročilo ugotavlja, da "ni pravne odgovornosti za kakovost programske opreme in to se verjetno ne bo kmalu spremenilo."
Raziskovalec, ki odkrije novo varnostno luknjo, jo lahko mirno predloži prodajalcu, javno objavi ali proda prodajalcu, ki ponudi najvišjo ponudbo. Zgodnja študija laboratorijev NSS je poročala o uspešni nadaljnji prodaji za izkoriščanja črnega trga. Poročilo navaja, da bi bile stvari veliko slabše, toda dejstvo, da se mnogi raziskovalci na področju varnosti altruistično vzdržijo prodaje črnim tržnikom.
Crooks ne more tekmovati
V svetu ponudbe in povpraševanja bi si morda mislili, da bi prevaranti samo tekmovali z dobrimi fanti in se bolj potegovali za povsem nove ranljivosti. Poročilo poudarja, da enaka neskladje med majhnimi dobički za prevarante in velikimi izgubami za žrtve pomeni, da prevaranti preprosto ne morejo tekmovati. Ne morejo ponuditi več kot največji pričakovani prihodek, medtem ko bi IVPP lahko plačal veliko več, da se izognejo kolosalnim izgubam.
Pravzaprav bi velika nagrada za novo najdene varnostne luknje verjetno povzročila več odkritij. Raziskovalec, katerega edina potencialna nagrada je tapkanje po hrbtu, majica ali nekaj sto dolarjev, preprosto ni tako motiviran. Ko poberete medeninasti prstan, dobite 150.000 dolarjev, to je drugačna zgodba.
Veliki načrti
Celotno poročilo ponuja podroben predlog, kako naj deluje mednarodni program nakupa ranljivosti. Zajema vse od tega, kdo bi plačal, do tega, kako se bo poročalo, do celotne organizacijske strukture in še več.
Se bo zgodilo? To bo še treba videti. Toda to zelo temeljito premišljeno poročilo me prepriča, da bi res lahko delovalo.