Video: Come sono diventato MILIONARIO in una NOTTE (Novembre 2024)
Quando un ladro lancia un mattone attraverso la finestra di un gioielliere e guadagna con il calcio, i suoi guadagni sono sostanzialmente inferiori alle perdite del gioielliere. Il ladro dovrà recintare gli oggetti al di sotto del loro valore reale, poiché sono "caldi". Il gioielliere non ha solo perso il valore della merce, ma deve pagare per una nuova finestra. Allo stesso modo, un cyber-truffatore che ruba un milione di numeri di carta di credito potrebbe venderli per qualche migliaio di dollari; avvisare un milione di clienti e configurarli con nuove carte costerà molto di più all'emittente delle carte.
Questa disparità ha suscitato un'idea per Stefan Frei, vicepresidente della ricerca presso NSS Labs. La maggior parte degli attacchi informatici violano la sicurezza dell'azienda vittima sfruttando un certo tipo di vulnerabilità nel sistema operativo o in altri software. E se potessimo prendere questo strumento lontano dai truffatori? In un documento di ricerca dettagliato, Frei e il collega analista Francisco Artes spiegano l'idea audace di creare un programma internazionale di acquisto di vulnerabilità (IVPP) che pagherebbe di più per le vulnerabilità di quanto i criminali possano permettersi.
Esecuzione dei numeri
Diversi esperti offrono stime diverse delle perdite finanziarie in tutto il mondo a causa del crimine informatico, ma variano tra decine di miliardi e centinaia di miliardi. Frei ha pubblicato i numeri sulle vulnerabilità pubblicati nel 2012 e ha scoperto che il costo per acquistare ciascuno per $ 150.000 sarebbe stato notevolmente inferiore alla quantità di danni finanziari che hanno causato.
Innanzitutto, esaminiamo il costo più elevato e il rendimento più basso. Supponiamo che l'IVPP abbia pagato $ 150.000 per ogni vulnerabilità, indipendentemente dalla gravità o dalla prevalenza del software coinvolto, evitando così dieci miliardi di perdite finanziarie. Il costo di acquisto è poco meno dell'8 percento delle perdite in questo scenario peggiore.
Tuttavia, un terzo delle vulnerabilità sfruttate sono state rilevate nei programmi dai primi dieci fornitori. Solo pagando per quelli, e accettando una stima di 100 miliardi per perdite, il costo scende allo 0, 3 percento del valore perso. Una scala di pagamento graduata basata sulla gravità ridurrebbe anche i costi. A titolo di confronto, il rapporto rileva che le società di vendita al dettaglio negli Stati Uniti prevedono di perdere dall'1, 5 al 2, 0 per cento delle vendite annuali per furto o "riduzione delle scorte".
Il rapporto ha inoltre rilevato che il costo di acquisto di tutte le vulnerabilità nel 2012 sarebbe stato pari a circa lo 0, 005 percento del PIL degli Stati Uniti o del PIL dell'Unione europea e inferiore allo 0, 3 percento delle entrate totali per l'industria del software.
I buchi di sicurezza sono qui per restare
Parte dell'articolo esamina la situazione attuale per quanto riguarda le vulnerabilità del software. In poche parole, anche se fosse possibile scrivere software privo di difetti, non sarebbe redditizio. Il grande costo di una violazione dei dati ricade sulla società che è stata violata, non sul fornitore del software difettoso. In termini commerciali, tale costo è una "esternalità negativa" per il fornitore di software e "le imprese orientate al profitto non investono nell'eliminazione delle esternalità negative".
Concepibilmente, gli utenti potrebbero forzare il problema rifiutando di acquistare software da venditori di software contenenti falle di sicurezza. In pratica, tuttavia, le vulnerabilità sono la norma. Tutti li aspettiamo e non se ne vanno. Il rapporto rileva che "non esiste alcuna responsabilità legale per la qualità del software e che è improbabile che possa cambiare presto".
Il ricercatore che scopre una nuova falla di sicurezza può tranquillamente inviarlo al venditore, annunciarlo pubblicamente o venderlo al miglior offerente. Un precedente studio di NSS Labs riportava una fiorente attività di rivendita per exploit del mercato nero. Il rapporto rileva che le cose andrebbero molto peggio, ma per il fatto che molti ricercatori sulla sicurezza si astengono altruisticamente dalla vendita ai mercati neri.
I truffatori non possono competere
In un mondo di domanda e offerta, potresti pensare che i truffatori competerebbero solo con i bravi ragazzi, offrendo di più per le nuove vulnerabilità. Il rapporto sottolinea che la stessa disparità tra piccolo guadagno per i truffatori e grande perdita per le vittime significa che i truffatori semplicemente non possono competere. Non possono offrire più del loro massimo reddito previsto, mentre un IVPP potrebbe pagare molto di più per evitare perdite colossali.
In effetti, la sostanziale ricompensa per i buchi di sicurezza appena scoperti porterebbe probabilmente a ulteriori scoperte. Un ricercatore la cui unica potenziale ricompensa è una pacca sulla spalla, una maglietta o qualche centinaio di dollari non è così motivato. Quando afferrare l'anello di ottone ti fa guadagnare $ 150.000, questa è una storia diversa.
Grandi piani
Il rapporto completo offre una proposta dettagliata di come funzionerebbe un programma internazionale di acquisto di vulnerabilità. Copre tutto, da chi pagherebbe, a come verrebbero fornite le relazioni, alla struttura organizzativa completa e altro ancora.
Accadrà? Questo resta da vedere. Ma questa relazione molto approfondita mi convince che potrebbe davvero funzionare.