مكافحة المحتالين: طريقة واحدة لإنهاء الاستغلال

عندما يرمي اللصوص لبنة من خلال نافذة الجواهري وينتهي بالسهم ، تكون مكاسبه أقل بكثير من خسائر الجواهري. سيتعين على السارق وضع السياج على العناصر الموجودة أسفل قيمتها الفعلية ، حيث إنها "ساخنة". لم يفقد الجواهري قيمة البضائع فحسب ، بل عليه أن يدفع ثمن نافذة جديدة. وعلى نفس المنوال ، فإن المحتال الإلكتروني الذي يسرق مليون رقم من بطاقات الائتمان قد يبيعها مقابل بضعة آلاف من الدولارات ؛ إخطار مليون عميل وإعدادهم ببطاقات جديدة سيكلف جهة إصدار البطاقة أكثر من ذلك بكثير.

أثار هذا التباين فكرة عن ستيفان فراي ، نائب رئيس الأبحاث في مختبرات NSS. معظم الهجمات الإلكترونية تتصدع لأمن الشركة الضحية من خلال استغلال نوع من الضعف في نظام التشغيل أو البرامج الأخرى. ماذا لو استطعنا أن نأخذ هذه الأداة بعيدًا عن المحتالين؟ في ورقة بحثية تفصيلية ، أوضح فراي وزميله المحلل فرانسيسكو أرتس الفكرة الجريئة المتمثلة في إنشاء برنامج دولي لشراء الثغرات الأمنية (IVPP) من شأنه أن يدفع أكثر مقابل الثغرات الأمنية التي يمكن أن يتحملها المحتالون.

تشغيل الأرقام

يقدم خبراء مختلفون تقديرات مختلفة للخسائر المالية في جميع أنحاء العالم بسبب جرائم الإنترنت ، لكنها تتراوح بين عشرات المليارات ومئات المليارات. ركض Frei الأرقام على نقاط الضعف المنشورة في عام 2012 ووجد أن تكلفة شراء كل منها بمبلغ 150،000 دولار كانت ستكون أقل بكثير من مقدار الضرر المالي الذي تسببت فيه.

أولاً ، دعونا نلقي نظرة على أعلى تكلفة وأقل عائد. لنفترض أن IVPP دفع 150،000 دولار لكل نقطة ضعف بغض النظر عن شدة أو انتشار البرنامج المعني وبالتالي تجنب عشرة مليارات من الخسائر المالية. تكلفة الشراء تقل قليلاً عن 8 في المائة من الخسائر في هذا السيناريو الأسوأ.

ومع ذلك ، تم العثور على ثلث نقاط الضعف المستغلة بالكامل في البرامج من قبل أكبر عشرة بائعين. مجرد دفع ثمن تلك ، وقبول 100 مليار للخسائر ، فإن التكلفة تنخفض إلى 0.3 في المئة من القيمة المفقودة. مقياس تدريجي للدفع على أساس شدة من شأنه أن يقلل أيضا من التكاليف. على سبيل المقارنة ، يشير التقرير إلى أن شركات البيع بالتجزئة في الولايات المتحدة تتوقع أن تخسر ما بين 1.5 إلى 2.0 في المائة من المبيعات السنوية بسبب الاختلاس أو "انكماش المخزون".

ووجد التقرير أيضًا أن تكلفة شراء جميع نقاط الضعف في عام 2012 كانت ستكون حوالي 0.005 في المائة من الناتج المحلي الإجمالي للولايات المتحدة أو الناتج المحلي الإجمالي للاتحاد الأوروبي ، وتحت 0.3 في المائة من إجمالي الإيرادات لصناعة البرمجيات.

الثقوب الأمنية موجودة لتبقى

يستعرض جزء من الورقة الموقف الحالي فيما يتعلق بضعف البرامج. ببساطة ، حتى لو كان من الممكن كتابة برامج خالية من العيوب ، فلن يكون ذلك مربحًا. إن التكلفة الكبيرة لخرق البيانات تقع على عاتق الشركة التي تم اختراقها ، وليس على الجهة الموردة للبرنامج المعيب. من الناحية التجارية ، تعتبر هذه التكلفة "مظهرًا خارجيًا سلبيًا" لبائع البرمجيات ، و "الشركات التي تحركها الأرباح لا تستثمر في القضاء على العوامل الخارجية السلبية".

يمكن للمستخدمين فرض المشكلة برفض شراء البرامج من بائعي البرامج التي تحتوي على ثغرات أمنية. في الممارسة العملية ، على الرغم من أن نقاط الضعف هي القاعدة. كلنا نتوقعهم ، ولن يذهبوا بعيدا. يشير التقرير إلى أنه "لا توجد مسؤولية قانونية عن جودة البرنامج ، ومن غير المرجح أن يتغير هذا في أي وقت قريب."

يمكن للباحث الذي يكتشف وجود ثغرة أمنية جديدة إرساله بهدوء إلى البائع أو الإعلان عنه علنًا أو بيعه إلى أعلى مزايد. ذكرت دراسة سابقة لـ NSS Labs عن عمل مزدهر لإعادة البيع يستغله السوق السوداء. ويشير التقرير إلى أن الأمور ستكون أسوأ بكثير ولكن لحقيقة أن العديد من الباحثين في مجال الأمن الامتناع عن الإيثار من البيع إلى المسوقين السود.

المحتالون لا يمكنهم التنافس

في عالم العرض والطلب ، قد تعتقد أن المحتالين سيتنافسون فقط مع الأهل الطيبين ، ويقدمون المزيد من الثغرات الجديدة. يشير التقرير إلى أن التباين نفسه بين المكاسب الصغيرة للمحتالين والخسارة الكبيرة للضحايا يعني أن المحتالين ببساطة لا يمكنهم التنافس. لا يمكنهم تقديم أكثر من الحد الأقصى لإيراداتهم المتوقعة ، في حين أن IVPP يمكن أن يدفع أكثر بكثير لتجنب الخسائر الهائلة.

في الواقع ، من المحتمل أن تؤدي المكافأة الكبيرة عن الثغرات الأمنية التي تم العثور عليها حديثًا إلى اكتشافات أكثر. الباحث الذي تكون مكافأته المحتملة الوحيدة هو رهان على ظهره ، تي شيرت ، أو بضع مئات من الدولارات ، ليس بنفس الحافز. عند الاستيلاء على الحلقة النحاسية تحصل على 150،000 دولار ، هذه قصة مختلفة.

خطط كبيرة

يقدم التقرير الكامل اقتراحًا مفصلاً لكيفية عمل برنامج شراء الثغرات الأمنية الدولية. وهو يغطي كل شيء من من سيدفع ، إلى كيفية حدوث الإبلاغ ، إلى الهيكل التنظيمي الكامل ، وأكثر من ذلك.

هل سيحدث ذلك؟ ذلك بقي ليكون مشاهد. لكن هذا التقرير المدروس جيدًا يقنعني أنه يمكن أن ينجح حقًا.