Stefan Frei az NSS Labs kutatója igen érdekes fejtegetésekbe kezdett az utóbbi időben. A KrebsOnSecurity-n találtam (idő közben a Biztonságportál is nagy vonalakban beszámolt a kutatásról) meg az első tanulmányát, melyben egyebek mellett konzervatív becslés kapunk arra, hogy nagyjából mekkora is ma a világ 0-day termelő képessége - kizárólag a nyilvános adatokra támaaszkodva azt kapjuk, hogy naponta(!) több mint 80, addig ismeretlen sérülékenységet fedeznek fel, és figyelembe véve a javítási ablakokat, gyakorlatilag esélyünk sincs, hogy az ezeket felhasználó támadásokat hosszú távon kivédjük.

A helyzetértékelés mellett azonban fontos lenne a megoldási lehetőségek keresése is, erre pedig Frei második esszéjében vállalkozik. A kiinduló tézis az, hogy bár a sérülékenységekből származó károk évente a legszerényebb becslések szeirnt is több milliárd dollárra rúgnak

a) a szoftverhibáktól nem tudunk megszabadulni,

b) a hibák harmadik fél általi felfedezése nem kiküszöbölhető

c) a sérülékenységek piaca szárnyal,

d) az eddigi megoldási kísérletek pedig nem működnek.

Frei ez után a problémát tisztán gazdasági alapokra helyezve alkotta meg az Internatinal Vulnerability Purchase Program (IVPP) modelljét, ami egy teoretikus szervezet a sérülékenységekből adódó károk enyhítésére.

Egy szemléletes példával a szerző a szoftverhibák problémáját a környezetszennyezéshez hasonlítja: a gyártó folyamatainak tökéletlensége végül nem a gyártók, hanem az előállított termék fogyasztójánál okoz kárt, így a gyártó alapesetben nem érdekelt a folyamat javításában, így részükről legfeljebb gesztusokat (ld. bug bounty programok) várhatunk. Ezzel szemben a feketepiac minden sérülékenységből hasznot húzhat, így ennek az oldalnak megéri felvásárolni a felfedezett hibákat, melyek kihasználásával az egész társadalomnak kárt okoz. 

Ennél a pontnál érkezünk el a munka legproblémásabb részéhez: ki fogja felvállalni a kárenyhítés költségét? A szerző sajnos erre a kérdésre nem ad egyértelmű választ, de az IVPP modellből kitűnik, hogy végül is az államoknak illetve nemzetközösségeknek kellene beszállniuk a ringbe, mivel egyrészt ők képesek leginkább nyomást gyakorolni a szoftvercégekre, másrészt az ő érdekük, hogy a sérülékenységek kezelése hatékony és nem utolsó sorban tisztességes legyen, de erről egy kicsit később. 

Ha megnézzük a számokat, kiderül, hogy mindössze tíz gyártót érinti a bejelentett sérülékenységek 30%-a, és ezek a gyárók állítják elő a legfontosabb kliens-oldali szoftverek (böngészők, oprendszerek, stb.) 80%-át. Amennyiben ezek a gyártók megvásárolnák az összes(!) őket érintő sérülékenység információt az azokat felfedező kutatóktól darabonként átlag 150.000 dollárért (!!), akkor az erre a területre fordítandó kiadásuk a bevételük kevesebb mint 0.5%-át tenné ki. Ha pedig az összes szoftversérülékenységért az szoftveripar együttesen fizetne, a teljes ágazat éves bevételének 0.106%-át kellene befektetni (ebben benne vannak pl. a FOSS termékek sérülékenységei is).

Ugyanezt EU finanszírozással elképzelve a közösség összes GDP-jének 0.002%-áról beszélhetünk. Meg kell jegyezni természetesen, hogy ezek még mindig iszonyatos pénzek, de abba is érdemes belegondolni, hogy az Unióban pl. csak a selejt költsége a GDP 1.27%-át tette ki 2008-ban. És bár a költségviselés kikényszerítése a világ másik felén nem aratna osztatlan sikert, innen, a súly- és telekomadó földjéről az elképzelés egyáltalán nem tűnik vadnak.

A fent vázolt árak már jórészt meghaladják a feketepiac által kínált jutalmakat, így a kritikus információ nagyobb eséllyel kerül a defenzív oldalra, a program költségeinek okos elosztásával pedig a gyártók is motiválhatók lehetnének a minőség javítására. És mivel a bűnözésből származó kár általában jóval nagyobb mint a bűnöző tényleges haszna, az IVPP-t fenntartani olyan áron is meg fogja érni, amit a bűnözőknek már nem érdemes kifizetniük.

Egy fontos kérdést azonban még nem tisztáztunk: mi akadályozza meg mondjuk az orosz sérülékenység dílert, hogy a hozzá bejelentett információt felhasználja pl. Ukrajnával szemben, mielőtt gondoskodik a felhasználók értesítéséről illetve a javításról? A probléma megoldására Frei egy többrétegű modellt javasol, melyben az IVPP tagokon számon lehetne kérni a beküldött információk megosztását a program többi résztvevőjével.

Ebben a modellben egy kutató a regionálisan működő gyűjtő központok bármelyikének elküldheti a sérülékenység információkat, melyet a központ előzetesen ellenőriz, majd véletlenszerűen továbbít valamelyik független kompetencia-központnak, ahol megtörténik a sérülékenység részletes elemzése illetve a konzultáció az érintett gyártóval. A kompetencia-központ a sérülékenység-információkat az összes helyi gyűjtő központnak továbbítja, a kutató pedig ellenőrizheti, hogy a bejelentése tényleg mindenhová eljutott-e. 

A koncepció természetesen még igen kidolgozatlan, az ördög pedig, mint tudjuk, a részletekben rejlik. Emellett a problémafelvetéseken érdemes elkezdeni gondolkozni és vitatkozni, mert a feketekalaposok már most is mérföldekkel előttünk járnak, és ha így haladunk, lassan behozhatatlan előnyre tesznek szert ezen a fronton (is).

A teljes tanulmány letölthető innen.