Video: Xúc Äất mang bán, hai ngÆ°á»i Äà n ông vÆ°á»ng lao lý (Tháng Chín 2024)
Khi một tên trộm ném một viên gạch qua cửa sổ của thợ kim hoàn và biến mất với cổ phiếu, lợi nhuận của anh ta thấp hơn đáng kể so với tổn thất của thợ kim hoàn. Kẻ trộm sẽ phải rào các vật phẩm dưới giá trị thực của chúng, vì chúng "nóng". Người thợ kim hoàn không chỉ mất giá trị của hàng hóa, anh ta phải trả tiền cho một cửa sổ mới. Cũng vậy, một kẻ lừa đảo qua mạng ăn cắp một triệu số thẻ tín dụng có thể bán chúng với giá vài nghìn đô la; Thông báo cho một triệu khách hàng và thiết lập chúng bằng thẻ mới sẽ khiến nhà phát hành thẻ tốn kém hơn rất nhiều.
Sự chênh lệch này đã gây ra một ý tưởng cho Stefan Frei, Phó chủ tịch nghiên cứu tại NSS Labs. Hầu hết các cuộc tấn công mạng phá vỡ bảo mật của nạn nhân bằng cách khai thác một số loại lỗ hổng trong hệ điều hành hoặc phần mềm khác. Điều gì sẽ xảy ra nếu chúng ta có thể mang công cụ đó ra khỏi kẻ gian? Trong một bài viết nghiên cứu chi tiết, Frei và nhà phân tích Francisco Artes đã nêu ra ý tưởng táo bạo về việc tạo ra Chương trình mua hàng dễ bị tổn thương quốc tế (IVPP) sẽ trả nhiều tiền hơn cho các lỗ hổng mà kẻ gian có thể chi trả.
Chạy số
Các học giả khác nhau đưa ra các ước tính khác nhau về tổn thất tài chính trên toàn thế giới do tội phạm mạng, nhưng chúng nằm trong khoảng từ hàng chục tỷ đến hàng trăm tỷ. Frei đã chạy các con số về các lỗ hổng được công bố vào năm 2012 và thấy rằng chi phí để mua mỗi cái với giá 150.000 đô la sẽ thấp hơn rất nhiều so với số tiền thiệt hại tài chính mà họ gây ra.
Đầu tiên, chúng ta hãy nhìn vào chi phí cao nhất và lợi nhuận thấp nhất. Giả sử IVPP đã trả 150.000 đô la cho mỗi lỗ hổng bất kể mức độ nghiêm trọng hoặc mức độ phổ biến của phần mềm có liên quan và do đó tránh được mười tỷ tổn thất tài chính. Chi phí mua hàng chỉ dưới 8 phần trăm tổn thất trong trường hợp xấu nhất này.
Tuy nhiên, đầy đủ một phần ba lỗ hổng khai thác đã được tìm thấy trong các chương trình của mười nhà cung cấp hàng đầu. Chỉ cần trả tiền cho những khoản đó và chấp nhận ước tính 100 tỷ đồng cho các khoản lỗ, chi phí giảm xuống còn 0, 3% giá trị bị mất. Một quy mô thanh toán tốt nghiệp dựa trên mức độ nghiêm trọng cũng sẽ giảm chi phí. Để so sánh, báo cáo lưu ý rằng các công ty bán lẻ ở Mỹ dự kiến sẽ mất 1, 5 đến 2, 0 phần trăm doanh thu hàng năm để ăn cắp hoặc "thu hẹp hàng tồn kho".
Báo cáo cũng cho thấy chi phí mua tất cả các lỗ hổng trong năm 2012 sẽ vào khoảng 0, 005% GDP của Mỹ hoặc GDP của Liên minh châu Âu và dưới 0, 3% tổng doanh thu cho ngành công nghiệp phần mềm.
Lỗ hổng bảo mật đang ở đây
Một phần của bài báo đánh giá tình hình hiện tại liên quan đến lỗ hổng phần mềm. Nói một cách đơn giản, ngay cả khi có thể viết phần mềm hoàn hảo, nó sẽ không sinh lãi. Chi phí lớn cho việc vi phạm dữ liệu thuộc về công ty bị vi phạm chứ không phải do nhà cung cấp phần mềm thiếu sót. Về mặt kinh doanh, chi phí đó là "ngoại ứng tiêu cực" đối với nhà cung cấp phần mềm và "các doanh nghiệp định hướng lợi nhuận không đầu tư vào việc loại bỏ các tác động tiêu cực từ bên ngoài".
Người dùng có thể hiểu được có thể buộc vấn đề bằng cách từ chối mua phần mềm từ các nhà cung cấp phần mềm có chứa lỗ hổng bảo mật. Trong thực tế, mặc dù, lỗ hổng là tiêu chuẩn. Tất cả chúng ta đều mong đợi họ, và họ sẽ không biến mất. Báo cáo lưu ý rằng "không có trách nhiệm pháp lý đối với chất lượng phần mềm và điều này khó có thể thay đổi bất cứ lúc nào sớm."
Nhà nghiên cứu phát hiện ra lỗ hổng bảo mật mới có thể lặng lẽ gửi nó cho nhà cung cấp, thông báo công khai hoặc bán cho người trả giá cao nhất. Một nghiên cứu trước đây của NSS Labs đã báo cáo một doanh nghiệp bán lại phát triển mạnh để khai thác thị trường chợ đen. Báo cáo lưu ý rằng mọi thứ sẽ tồi tệ hơn rất nhiều nhưng thực tế là nhiều nhà nghiên cứu bảo mật đã từ chối bán hàng cho các nhà tiếp thị đen.
Kẻ gian không thể cạnh tranh
Trong một thế giới cung và cầu, bạn có thể nghĩ rằng kẻ gian sẽ cạnh tranh với những kẻ tốt, đấu thầu nhiều hơn cho các lỗ hổng hoàn toàn mới. Báo cáo chỉ ra rằng sự chênh lệch tương tự giữa lợi ích nhỏ cho kẻ gian và mất mát lớn cho nạn nhân có nghĩa là kẻ gian chỉ đơn giản là không thể cạnh tranh. Họ không thể cung cấp nhiều hơn doanh thu dự kiến tối đa của họ, trong khi IVPP có thể trả nhiều hơn để tránh tổn thất khổng lồ.
Trên thực tế, phần thưởng đáng kể cho các lỗ hổng bảo mật mới được tìm thấy có thể sẽ dẫn đến nhiều khám phá hơn. Một nhà nghiên cứu có phần thưởng tiềm năng duy nhất là một cái vỗ nhẹ vào lưng, áo phông hoặc vài trăm đô la chỉ là không có động lực. Khi lấy chiếc nhẫn bằng đồng sẽ mang lại cho bạn 150.000 đô la, đó là một câu chuyện khác.
Kế hoạch lớn
Báo cáo đầy đủ đưa ra một đề xuất chi tiết về cách thức Chương trình mua hàng dễ bị tổn thương quốc tế hoạt động. Nó bao gồm mọi thứ từ ai sẽ trả tiền, đến cách báo cáo sẽ xảy ra, đến cơ cấu tổ chức đầy đủ và hơn thế nữa.
Nó sẽ xảy ra chứ? Điều đó vẫn còn để được nhìn thấy. Nhưng báo cáo được suy nghĩ rất kỹ lưỡng này thuyết phục tôi rằng nó thực sự có thể làm việc.
