Video: Huijataan huijareita - huijari saa kirjeen kotiinsa Afrikassa (Marraskuu 2024)
Kun murtovartija heittää tiilän jalokivikaupungin ikkunan läpi ja lähtee varaston mukana, hänen voitonsa ovat huomattavasti pienemmät kuin jalokivikauppiaan menetykset. Varkaan on aidattava esineet todellisen arvon alapuolelle, koska ne ovat "kuumia". Jalokivikauppias ei ole vain menettänyt tavaran arvoa, vaan hänen on maksettava uudesta ikkunasta. Samoin miljoonan luottokorttinumeron varastava verkkokukko saattaa myydä niitä muutaman tuhannen dollarin edestä; miljoonan asiakkaan ilmoittaminen ja asettaminen heille uusilla korteilla maksaa kortin myöntäjälle huomattavasti enemmän.
Tämä ero antoi ajatuksen Stefan Freille, NSS Labsin tutkimusjohtajalle. Useimmat verkkohyökkäykset murtaa uhrin yrityksen tietoturvaa hyödyntämällä jonkin tyyppisiä haavoittuvuuksia käyttöjärjestelmässä tai muussa ohjelmistossa. Entä jos voisimme viedä tuon työkalun huijareilta? Frei ja muut analyytikot Francisco Artes esittivät yksityiskohtaisessa tutkimusdokumentissa rohkean ajatuksen kansainvälisen haavoittuvuusosto-ohjelman (IVPP) luomisesta, joka maksaa enemmän haavoittuvuuksista kuin roistoilla on varaa.
Juokse numeroita
Erilaiset oppilaitokset tarjoavat erilaisia arvioita verkkorikollisuuden aiheuttamista taloudellisista menetyksistä maailmanlaajuisesti, mutta ne vaihtelevat kymmenien ja satojen miljardien välillä. Frei juoksi vuonna 2012 julkaistuihin haavoittuvuuksia koskeviin numeroihin ja havaitsi, että jokaisen 150 000 dollarin hankintakustannukset olisivat olleet huomattavasti alhaisemmat kuin niiden aiheuttamat taloudelliset vahingot.
Ensinnäkin tarkastellaan korkeimpia kustannuksia ja pienintä tuottoa. Oletetaan, että IVPP maksoi 150 000 dollaria jokaisesta haavoittuvuudesta riippumatta mukana olevan ohjelmiston vakavuudesta tai yleisyydestä, ja siten vältettiin kymmenen miljardin euron taloudelliset menetykset. Ostokustannukset ovat vajaat 8 prosenttia tappioista tässä pahimmassa tapauksessa.
Kymmenen suurimman myyjän ohjelmat kuitenkin löysivät täysin kolmanneksen hyödynnetyistä haavoittuvuuksista. Vain maksamalla niistä ja hyväksymällä arviolta 100 miljardia menetystä, kustannukset laskevat 0, 3 prosenttiin menetetystä arvosta. Asteittainen maksutaso vakavuuden perusteella vähentäisi myös kustannuksia. Vertailuna raportissa todetaan, että Yhdysvaltojen vähittäiskauppayritykset odottavat menettävänsä 1, 5–2, 0 prosenttia vuotuisesta myynnistä pilferage-palveluun tai "varaston pienenemiseen".
Raportissa todettiin myös, että kaikkien haavoittuvuuksien ostamisen kustannukset vuonna 2012 olisivat olleet noin 0, 005 prosenttia Yhdysvaltain tai Euroopan unionin BKT: sta ja alle 0, 3 prosenttia ohjelmistoteollisuuden kokonaistuloista.
Turvareiät ovat täällä pysyäksesi
Osa artikkelista tarkastelee ohjelmistojen haavoittuvuuksien nykytilaa. Yksinkertaisesti sanottuna, vaikka olisi mahdollista kirjoittaa virheetöntä ohjelmistoa, se ei olisi kannattavaa. Tietosuojarikkomusten suuri kustannus laskee yritystä, jota rikottiin, ei virheellisen ohjelmiston toimittajalle. Liiketoiminnan kannalta nämä kustannukset ovat "negatiivinen ulkoisuus" ohjelmistotoimittajalle, ja "voittopohjaiset yritykset eivät investoi negatiivisten ulkoisvaikutusten poistamiseen".
Kuviteltavasti käyttäjät voivat pakottaa ongelman kieltäytymällä ostamasta ohjelmistoja tietoturva-aukkoja sisältävien ohjelmistojen myyjiltä. Käytännössä haavoittuvuudet ovat kuitenkin normi. Me kaikki odotamme heitä, eivätkä he ole poissa. Raportissa todetaan, että "ohjelmistojen laadusta ei ole oikeudellista vastuuta, ja tämä ei todennäköisesti muutu milloin tahansa pian".
Uuden tietoturva-aukon löytänyt tutkija voi hiljaisesti lähettää sen myyjälle, ilmoittaa siitä julkisesti tai myydä korkeimman tarjouksen tehneelle. Aikaisempi NSS Labs -tutkimus kertoi menestyvästä jälleenmyyntiyrityksestä mustien markkinoiden hyödyntämiseksi. Raportissa todetaan, että asiat olisivat paljon huonompia, mutta se tosiasia, että monet turvallisuustutkijat pidättäytyvät altruistisesti myymästä mustalle markkinoijalle.
Crooks ei voi kilpailla
Tarjonnan ja kysynnän maailmassa saatat ajatella, että huijarit kilpailevat vain hyvien kavereiden kanssa, tarjoamalla enemmän aivan uusille haavoittuvuuksille. Raportissa huomautetaan, että sama ero huijareiden pienen voiton ja uhreille aiheutuvien suurten tappioiden välillä tarkoittaa, että piisit eivät yksinkertaisesti pysty kilpailemaan. He eivät voi tarjota ennakoitua enimmäistuottoaan enemmän, kun taas IVPP voi maksaa paljon enemmän välttääkseen suuria menetyksiä.
Itse asiassa huomattava palkkio hiljattain löydetyistä tietoturva-aukoista johtaisi todennäköisesti lisää löytöjä. Tutkija, jonka ainoa mahdollinen palkkio on takana oleva paita, T-paita tai muutama sata dollaria, ei vain ole niin motivoitunut. Kun napautat messinkirenkaan, saat 150 000 dollaria, se on eri juttu.
Suuret suunnitelmat
Koko raportti tarjoaa yksityiskohtaisen ehdotuksen siitä, kuinka kansainvälinen haavoittuvuusosto-ohjelma toimisi. Se kattaa kaiken siitä, kuka maksaa, kuinka raportointi tapahtuisi, koko organisaation rakenteeseen ja muuhun.
Tapahtuuko se? Se on vielä nähtävä. Mutta tämä hyvin perusteellisesti harkittu mietintö vakuuttaa minut siitä, että se todella voisi toimia.