Vídeo: The Savings and Loan Banking Crisis: George Bush, the CIA, and Organized Crime (Setembre 2024)
Quan un atracador llança un maó per la finestra d’un joier i surt amb l’estoc, els seus beneficis són substancialment inferiors a les pèrdues del joier. El lladre haurà de tancar els articles per sota del seu valor real, ja que estan "calents". El joier no només ha perdut el valor de la mercaderia, sinó que ha de pagar per una nova finestra. Al mateix temps, un cyber-crimin que roba un milió de números de targetes de crèdit els podria vendre per uns quants milers de dòlars; notificar un milió de clients i configurar-los amb targetes noves costarà molt més a l’emissor de la targeta.
Aquesta disparitat va provocar una idea per a Stefan Frei, vicepresident de recerca de NSS Labs. La majoria de ciberatacs trenquen la seguretat de l'empresa víctima mitjançant l'explotació d'algun tipus de vulnerabilitat en el sistema operatiu o un altre programari. Què passaria si poguéssim treure aquesta eina dels fadrins? En un detallat treball d’investigació, Frei i el seu analista Francisco Artes delineen la audacia idea de crear un Programa Internacional de Compra de Vulnerabilitat (IVPP) que pagaria més per les vulnerabilitats del que els poden permetre els escorcolls.
Execució dels números
Diferents fons ofereixen estimacions de pèrdues financeres a tot el món a causa de la ciberdelinqüència, però oscil·len entre desenes de bilions i centenars de milions. Frei va publicar el número de vulnerabilitats publicat el 2012 i va trobar que el cost de compra de cadascun per import de 150.000 dòlars hauria estat molt inferior a la quantitat de danys financers que van causar.
Primer, mirem el cost més alt i el menor rendiment. Suposem que l’IVPP va pagar 150.000 dòlars per cada vulnerabilitat independentment de la gravetat o la prevalença del programari involucrat i, per tant, va evitar deu milions de pèrdues financeres. El cost de la compra està per sota del 8% de les pèrdues en aquest cas pitjor.
Tanmateix, els deu venedors principals es van trobar en la totalitat d'un terç de les vulnerabilitats explotades. Només pagant per aquests i acceptant una estimació de 100 milions de pèrdues, el cost baixa fins al 0, 3 per cent del valor perdut. Una escala de pagament graduada basada en la gravetat també reduiria els costos. Com a comparació, l'informe assenyala que les empreses de venda al detall dels Estats Units esperen perdre l'1, 5 al 2, 0 per cent de les vendes anuals per a pilferage o "reducció d'inventari".
L’informe també va trobar que el cost de compra de totes les vulnerabilitats el 2012 hauria estat al voltant del 0, 005 per cent del PIB dels Estats Units o del PIB de la Unió Europea i inferior al 0, 3 per cent dels ingressos totals de la indústria del programari.
Els forats de seguretat estan aquí per romandre
Part del document revisa la situació actual pel que fa a les vulnerabilitats del programari. En poques paraules, encara que es pogués escriure programari sense defectes, no seria rendible. El gran cost d’una infracció de dades recau en l’empresa que s’ha incomplert, no en la proveïdora del programari defectuós. En termes empresarials, aquest cost és una "externalitat negativa" per al venedor de programari i les "empreses orientades al benefici no inverteixen en l'eliminació de les externalitats negatives".
Concebiblement, els usuaris podrien obligar-se a negar-se a comprar programari de proveïdors de programari que continguin forats de seguretat. En la pràctica, però, la vulnerabilitat és la norma. Tots els esperem i no se’n van. L’informe assenyala que “no hi ha cap responsabilitat legal per la qualitat del programari, i és probable que això canviï en cap moment”.
L’investigador que descobreix un nou forat de seguretat pot enviar-lo tranquilament al venedor, anunciar-lo públicament o vendre’l al millor ofertant. Un estudi anterior de NSS Labs va reportar un pròsper negoci de revenda per a explotacions del mercat negre. L’informe assenyala que les coses serien molt pitjors, però pel fet que molts investigadors de seguretat s’abstenen de manera altruista de vendre als venedors negres.
Els Crooks no es poden competir
En un món d’oferta i demanda, podríeu pensar que els escorcolls competirien només amb els nois bons, apostant més per les vulnerabilitats del nou. L’informe assenyala que la mateixa disparitat entre el petit guany per als escorcolls i la gran pèrdua per a les víctimes significa que els escorcolls simplement no poden competir. No poden oferir més dels seus ingressos màxims previstos, mentre que un IVPP podria pagar molt més per evitar pèrdues colossals.
De fet, la recompensa substancial pels forats de seguretat acabats de trobar provocaria probablement més descobriments. Un investigador l'única recompensa potencial que té és una brossa al darrere, una samarreta, o uns quants centenars de dòlars no està tan motivat. Quan agafeu l’anell de llautó us guanyen 150.000 dòlars, aquesta és una història diferent.
Grans Plans
L’informe complet ofereix una proposta detallada sobre com funcionaria un Programa de Compra de Vulnerabilitat Internacional. Cobreix tot, des de qui pagaria, fins a com passaria els informes, fins a l'estructura organitzativa completa i molt més.
Passarà? Això encara queda per veure. Però aquest informe profundament pensat em convenç que realment podria funcionar.
