Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

IVPP

2013.12.18. 16:32 | buherator | Szólj hozzá!

Stefan Frei az NSS Labs kutatója igen érdekes fejtegetésekbe kezdett az utóbbi időben. A KrebsOnSecurity-n találtam (idő közben a Biztonságportál is nagy vonalakban beszámolt a kutatásról) meg az első tanulmányát, melyben egyebek mellett konzervatív becslés kapunk arra, hogy nagyjából mekkora is ma a világ 0-day termelő képessége - kizárólag a nyilvános adatokra támaaszkodva azt kapjuk, hogy naponta(!) több mint 80, addig ismeretlen sérülékenységet fedeznek fel, és figyelembe véve a javítási ablakokat, gyakorlatilag esélyünk sincs, hogy az ezeket felhasználó támadásokat hosszú távon kivédjük.

A helyzetértékelés mellett azonban fontos lenne a megoldási lehetőségek keresése is, erre pedig Frei második esszéjében vállalkozik. A kiinduló tézis az, hogy bár a sérülékenységekből származó károk évente a legszerényebb becslések szeirnt is több milliárd dollárra rúgnak

a) a szoftverhibáktól nem tudunk megszabadulni,

b) a hibák harmadik fél általi felfedezése nem kiküszöbölhető

c) a sérülékenységek piaca szárnyal,

d) az eddigi megoldási kísérletek pedig nem működnek.

Frei ez után a problémát tisztán gazdasági alapokra helyezve alkotta meg az Internatinal Vulnerability Purchase Program (IVPP) modelljét, ami egy teoretikus szervezet a sérülékenységekből adódó károk enyhítésére.

Egy szemléletes példával a szerző a szoftverhibák problémáját a környezetszennyezéshez hasonlítja: a gyártó folyamatainak tökéletlensége végül nem a gyártók, hanem az előállított termék fogyasztójánál okoz kárt, így a gyártó alapesetben nem érdekelt a folyamat javításában, így részükről legfeljebb gesztusokat (ld. bug bounty programok) várhatunk. Ezzel szemben a feketepiac minden sérülékenységből hasznot húzhat, így ennek az oldalnak megéri felvásárolni a felfedezett hibákat, melyek kihasználásával az egész társadalomnak kárt okoz. 

Ennél a pontnál érkezünk el a munka legproblémásabb részéhez: ki fogja felvállalni a kárenyhítés költségét? A szerző sajnos erre a kérdésre nem ad egyértelmű választ, de az IVPP modellből kitűnik, hogy végül is az államoknak illetve nemzetközösségeknek kellene beszállniuk a ringbe, mivel egyrészt ők képesek leginkább nyomást gyakorolni a szoftvercégekre, másrészt az ő érdekük, hogy a sérülékenységek kezelése hatékony és nem utolsó sorban tisztességes legyen, de erről egy kicsit később. 

frei_bigones.png

Ha megnézzük a számokat, kiderül, hogy mindössze tíz gyártót érinti a bejelentett sérülékenységek 30%-a, és ezek a gyárók állítják elő a legfontosabb kliens-oldali szoftverek (böngészők, oprendszerek, stb.) 80%-át. Amennyiben ezek a gyártók megvásárolnák az összes(!) őket érintő sérülékenység információt az azokat felfedező kutatóktól darabonként átlag 150.000 dollárért (!!), akkor az erre a területre fordítandó kiadásuk a bevételük kevesebb mint 0.5%-át tenné ki. Ha pedig az összes szoftversérülékenységért az szoftveripar együttesen fizetne, a teljes ágazat éves bevételének 0.106%-át kellene befektetni (ebben benne vannak pl. a FOSS termékek sérülékenységei is).

frei_top.png

Ugyanezt EU finanszírozással elképzelve a közösség összes GDP-jének 0.002%-áról beszélhetünk. Meg kell jegyezni természetesen, hogy ezek még mindig iszonyatos pénzek, de abba is érdemes belegondolni, hogy az Unióban pl. csak a selejt költsége a GDP 1.27%-át tette ki 2008-ban. És bár a költségviselés kikényszerítése a világ másik felén nem aratna osztatlan sikert, innen, a súly- és telekomadó földjéről az elképzelés egyáltalán nem tűnik vadnak.

A fent vázolt árak már jórészt meghaladják a feketepiac által kínált jutalmakat, így a kritikus információ nagyobb eséllyel kerül a defenzív oldalra, a program költségeinek okos elosztásával pedig a gyártók is motiválhatók lehetnének a minőség javítására. És mivel a bűnözésből származó kár általában jóval nagyobb mint a bűnöző tényleges haszna, az IVPP-t fenntartani olyan áron is meg fogja érni, amit a bűnözőknek már nem érdemes kifizetniük.

Egy fontos kérdést azonban még nem tisztáztunk: mi akadályozza meg mondjuk az orosz sérülékenység dílert, hogy a hozzá bejelentett információt felhasználja pl. Ukrajnával szemben, mielőtt gondoskodik a felhasználók értesítéséről illetve a javításról? A probléma megoldására Frei egy többrétegű modellt javasol, melyben az IVPP tagokon számon lehetne kérni a beküldött információk megosztását a program többi résztvevőjével.

Ebben a modellben egy kutató a regionálisan működő gyűjtő központok bármelyikének elküldheti a sérülékenység információkat, melyet a központ előzetesen ellenőriz, majd véletlenszerűen továbbít valamelyik független kompetencia-központnak, ahol megtörténik a sérülékenység részletes elemzése illetve a konzultáció az érintett gyártóval. A kompetencia-központ a sérülékenység-információkat az összes helyi gyűjtő központnak továbbítja, a kutató pedig ellenőrizheti, hogy a bejelentése tényleg mindenhová eljutott-e. 

frei_submission.png

A koncepció természetesen még igen kidolgozatlan, az ördög pedig, mint tudjuk, a részletekben rejlik. Emellett a problémafelvetéseken érdemes elkezdeni gondolkozni és vitatkozni, mert a feketekalaposok már most is mérföldekkel előttünk járnak, és ha így haladunk, lassan behozhatatlan előnyre tesznek szert ezen a fronton (is).

A teljes tanulmány letölthető innen.

Címkék: gazdaság gondolat bug bounty ivpp stefan frei

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.