Rumah Jam keamanan Mengalahkan para penjahat: satu cara untuk mengakhiri eksploitasi

Mengalahkan para penjahat: satu cara untuk mengakhiri eksploitasi

Video: How To Hack / Exploit Among Us To WIN EVERY ROUND - New OVERPOWERED among us exploit (Desember 2024)

Video: How To Hack / Exploit Among Us To WIN EVERY ROUND - New OVERPOWERED among us exploit (Desember 2024)
Anonim

Ketika seorang pencuri melempar batu bata melalui jendela toko perhiasan dan berhasil kabur dengan saham itu, keuntungannya jauh lebih kecil daripada kerugian yang didapat oleh perhiasan itu. Pencuri harus memagari barang-barang di bawah nilai sebenarnya, karena mereka "panas." Perhiasan tidak hanya kehilangan nilai barang dagangan, ia harus membayar untuk jendela baru. Dengan cara yang sama, seorang penjahat cyber yang mencuri sejuta nomor kartu kredit mungkin menjualnya seharga beberapa ribu dolar; memberi tahu sejuta pelanggan dan menyiapkannya dengan kartu baru akan membuat penerbit kartu lebih mahal.

Perbedaan ini memicu ide untuk Stefan Frei, Wakil Presiden Riset di NSS Labs. Kebanyakan serangan cyber merusak keamanan perusahaan korban dengan mengeksploitasi beberapa jenis kerentanan dalam sistem operasi atau perangkat lunak lain. Bagaimana jika kita bisa mengambil alat itu dari penjahat? Dalam makalah penelitian terperinci, Frei dan sesama analis Francisco Artes menguraikan gagasan berani untuk menciptakan Program Pembelian Kerentanan Internasional (IVPP) yang akan membayar lebih untuk kerentanan daripada yang bisa dilakukan penjahat.

Menjalankan Angka

Pakar yang berbeda menawarkan perkiraan kerugian finansial yang berbeda di seluruh dunia karena kejahatan dunia maya, tetapi mereka berkisar antara puluhan miliar dan ratusan miliar. Frei menghitung angka pada kerentanan yang diterbitkan pada tahun 2012 dan menemukan bahwa biaya untuk membeli masing-masing sebesar $ 150.000 akan jauh lebih rendah daripada jumlah kerusakan finansial yang disebabkannya.

Pertama, mari kita lihat biaya tertinggi dan pengembalian terendah. Misalkan IVPP membayar $ 150.000 untuk setiap kerentanan terlepas dari tingkat keparahan atau prevalensi perangkat lunak yang terlibat dan dengan demikian menghindari sepuluh miliar kerugian finansial. Biaya pembelian hanya di bawah 8 persen dari kerugian dalam skenario terburuk ini.

Namun, sepenuhnya sepertiga dari kerentanan yang dieksploitasi ditemukan dalam program oleh sepuluh vendor teratas. Hanya membayar untuk itu, dan menerima perkiraan 100 miliar untuk kerugian, biaya turun menjadi 0, 3 persen dari nilai yang hilang. Skala pembayaran bertahap berdasarkan tingkat keparahan juga akan mengurangi biaya. Sebagai perbandingan, laporan itu mencatat bahwa perusahaan ritel di AS memperkirakan akan kehilangan 1, 5 hingga 2, 0 persen dari penjualan tahunan untuk dicuri atau "penyusutan inventaris."

Laporan itu juga menemukan bahwa biaya untuk membeli semua kerentanan pada 2012 adalah sekitar 0, 005 persen dari PDB AS atau PDB Uni Eropa, dan di bawah 0, 3 persen dari total pendapatan untuk industri perangkat lunak.

Lubang Keamanan Telah Tiba

Bagian dari makalah ini meninjau situasi saat ini sehubungan dengan kerentanan perangkat lunak. Sederhananya, bahkan jika mungkin untuk menulis perangkat lunak bebas cacat, itu tidak akan menguntungkan. Biaya besar pelanggaran data jatuh pada perusahaan yang dilanggar, bukan pada penyedia perangkat lunak yang cacat. Dalam istilah bisnis, biaya itu adalah "eksternalitas negatif" untuk vendor perangkat lunak, dan "bisnis yang digerakkan oleh laba tidak berinvestasi dalam menghilangkan eksternalitas negatif."

Pengguna yang dapat dibayangkan dapat memaksa masalah ini dengan menolak untuk membeli perangkat lunak dari vendor perangkat lunak yang mengandung lubang keamanan. Namun dalam praktiknya, kerentanan adalah norma. Kita semua mengharapkan mereka, dan mereka tidak akan pergi. Laporan itu mencatat bahwa "tidak ada kewajiban hukum untuk kualitas perangkat lunak, dan ini tidak mungkin berubah dalam waktu dekat."

Peneliti yang menemukan lubang keamanan baru dapat dengan diam-diam mengirimkannya ke vendor, mengumumkannya secara publik, atau menjualnya kepada penawar tertinggi. Studi NSS Labs sebelumnya melaporkan bisnis penjualan kembali yang berkembang pesat untuk eksploitasi pasar gelap. Laporan itu mencatat bahwa keadaan akan jauh lebih buruk, tetapi karena banyak peneliti keamanan yang secara altruistis menahan diri untuk tidak menjual kepada pemasar gelap.

Penjahat Tidak Bisa Bersaing

Dalam dunia penawaran dan permintaan, Anda mungkin berpikir bahwa penjahat hanya akan bersaing dengan orang-orang baik, menawar lebih banyak untuk kerentanan baru. Laporan tersebut menunjukkan bahwa perbedaan yang sama antara perolehan kecil untuk penjahat dan kerugian besar bagi para korban berarti bahwa penjahat tidak bisa bersaing. Mereka tidak dapat menawarkan lebih dari pendapatan maksimum yang diantisipasi, sementara IVPP dapat membayar lebih banyak untuk menghindari kerugian kolosal.

Bahkan, hadiah besar untuk lubang keamanan yang baru ditemukan kemungkinan akan mengarah pada lebih banyak penemuan. Seorang peneliti yang satu-satunya hadiah potensial adalah tepukan di belakang, T-Shirt, atau beberapa ratus dolar saja tidak termotivasi. Ketika meraih cincin kuningan memberi Anda $ 150.000, itu cerita yang berbeda.

Paket Besar

Laporan lengkap menawarkan proposal terperinci untuk bagaimana Program Pembelian Kerentanan Internasional akan bekerja. Ini mencakup segala sesuatu dari siapa yang akan membayar, hingga bagaimana pelaporan akan terjadi, hingga struktur organisasi penuh, dan banyak lagi.

Apakah ini akan terjadi? Itu masih harus dilihat. Tetapi laporan yang dipikirkan dengan saksama ini meyakinkan saya bahwa itu benar-benar bisa berhasil.

Mengalahkan para penjahat: satu cara untuk mengakhiri eksploitasi