Expert: VS moet alle zero days opkopen en openbaar maken
De Amerikaanse overheid zou alle zero day-lekken die op marktplaatsen worden aangeboden moeten opkopen, om ze vervolgens openbaar te maken zodat leveranciers ze kunnen patchen. Daarvoor pleitte beveiligingsexpert Dan Geer deze week tijdens zijn keynote op de Black Hat conferentie in Las Vegas.
"Als een paar Texaanse broers de zilvermarkt konden openbreken, is er geen twijfel dat de Amerikaanse overheid de markt voor softwarelekken kan openbreken", aldus Geer, die eraan toevoegt dat opgekochte onbekende lekken waarvoor nog geen patch beschikbaar is vervolgens openbaar worden gemaakt. Om partijen te kunnen overtuigen dat ze de lekken verkopen zou de Amerikaanse overheid bijvoorbeeld tien keer zoveel kunnen bieden als andere bieders.
"Natuurlijk zijn er mensen die zeggen dat ze Amerikanen haten en alleen aan Oekraïners verkopen, maar omdat er bij het vinden van lekken steeds meer van automatisering gebruik wordt gemaakt, zal de verkoper die niet aan Amerikanen verkoopt weten dat zijn lekken uiteindelijk kunnen worden ontdekt door iemand die wel aan Amerikanen verkoopt, die het vervolgens aan iedereen vertellen. Daardoor is de noodzaak om voor de verkoper om zijn product te verkopen voordat het verlopen is onweerstaanbaar", aldus Geer.
Neveneffecten
De bruikbaarheid van de strategie is volgens Geer aan twee neveneffecten te danken. Ten eerste zorgen de hoge beloningen ervoor dat de groep mensen die beveiligingslekken kan vinden groeit. Als tweede punt zorgt het openbaren van de lekken ervoor dat ze minder waard worden. "Anders gezegd, door veel meer te betalen wordt het vinden van lekken versneld, en door iedereen te laten zien wat we hebben gekocht, legen we de voorraad cyberwapens van onze vijanden."
Doordat er voor zero day-lekken geen patches beschikbaar zijn, zijn ze zeer effectief om computers over te nemen. Zero days worden dan ook vaak met "cyberwapens" vergeleken. Geer merkt op dat het niet nodig is om informatie over de wapens van de vijand te hebben als de VS zelf over een bijna compleet arsenaal van alle lekken ter wereld beschikt en die met alle betreffende softwareleveranciers deelt.
De vraag is echter hoeveel softwarelekken er zijn. Als er grote aantallen lekken in software aanwezig zijn dan zullen de kosten voor zowel belastingbetalers als softwareleveranciers en ontwikkelaars alleen maar stijgen, doordat ze alle gevonden lekken moeten repareren en er voor alle gevonden lekken betaald wordt. Geer denkt dat de hoeveelheid nog onontdekte softwarelekken beperkt is en dat zijn idee wel kan werken. "Daarom denk ik dat het openbreken van de markt de goedkoopste mogelijk manier is om te winnen", zo concludeert hij.
Veel beter is responsible disclosure, waarbij bedrijven aan de ene kant voldoende tijd krijgen het probleem op te lossen (en dit uiteraard wel doen), en aan de andere kant onderzoekers voldoende vergoeding krijgen om het zoeken naar het lek te financieren hierdoor ontstaat er een legale markt, en maak je gebruik van de kennis van de massa. Door het criminaliseren van mensen die lekken melden, bereik je juist het tegenovergestelde: Eerlijke onderzoekers haken af, terwijl criminele hackers hun vindingen voor goed geld verkopen aan exploit kits etc.
Voor het vinden van lekken gelden economische regels: het eerste lek vinden kost een uurtje werk (en dus één uurloon), het laatste lek vinden kost kwadratisch meer. We moeten gewoon erkennen dat er een zwarte markt voor lekken is, en dat het probleem gewoon groter wordt als de prijs voor lekken laag gehouden wordt. Juist met responsible disclosure drijf je de prijs op, ook al zullen er altijd criminele zijn die meer willen betalen dan jij, je verkleint wel het aanvalsgebied.
Het voorstel van Dan Geer komt eigenlijk gewoon neer op het verplicht maken van responsible disclosure, iets wat ik alleen maar kan toe juichen. Daarnaast hoeft het helemaal niet nodig te zijn 10x zoveel te betalen, met 5% meer zul je de meeste verkopers toch wel over de streep trekken, de wetten van de markt dicteren alleen dat de prijs dan hard omhoog zal schieten, als men weet dat de overheid jou lek tegen elke prijs opkoopt, dan vraag je natuurlijk 10x zoveel (en als een criminele bende geen lek kan kopen voor prijs X, dan betalen ze graag prijs 10X), echter zuig je daarmee wel de pot leeg, tevens worden doelwitten die niet genoeg poen opleveren ineens niet meer interessant voor criminelen, waardoor je die mensen effectief beschermt.
Totaal hoeft dit de overheid ook helemaal niet veel te kosten: Ze kunnen die kosten gewoon terug eisen van de getroffen bedrijven. Daar kunnen ze vast wel een leuk wetje voor maken, daarnaast vermoed ik dat bedrijven een stuk minder happig zullen zijn op het aanklagen van de overheid om "imagoschade" en allerlei andere vage smoesjes waar ze normaal mee komen als een lek publiek gemaakt dreigt te worden.
Chrome x64 en inlogpagina zijn nog steeds geen vriendjes. Kan iemand dat bevestigen?
De overheid van de VS. Yes sure. Er zijn vast de nodige zero-days waarvan de NSA ze goed genoeg vinden om juist niet geopenbaard te worden in het belang van de nationale veiligheid.
Als het dan gebeurt, dan door een "onafhankelijk" orgaan als de UN of iets dergelijks.
En nu willen ze daar overheidssubsidie op? De enigen die daar echt beter van worden zijn deze artiesten in, nuja, het begint onderhand wel erg op zwendel te lijken.
Vergelijk daarnaast *kuch* zekere fabrikanten *kuch* van *kuch* zekere zeer veel gebruikte software *kuch* met dus een enorme installed base. Die software draait 90%+ marge per verkocht kopie. Je maakt mij niet wijs dat je daarmee tweevoudige of zelfs drievoudige ontwikkelkosten niet zou kunnen opvangen. Dat hadden ze kunnen doen, en als ze er niet eerst een tiental jaren expres met de pet naar hadden gegooid hadden ze nu een beter product met een veel betere beveiliging gehad.
Ik denk dus niet dat het redelijk is om de belastingbetaler (om het even van welk land) op te laten draaien voor zulke structurele, laakbare laksheid en daarmee voortdurende grove nalatigheid.
Hij wijst tevens op de eigen verantwoordelijkheid.
Software aanbieders/ontwikkelaars moeten er geen potje van maken en (nog) meer hun verantwoordelijkheden nemen voor het ontwikkelen van veilige software.
Enige meer wettelijke stimulans dat te doen lijkt wat hem betreft gewenst.
Een zeer eigen stijl en inkleding van opvattingen kan deze wilde bakkebaardmans niet worden ontzegd.
Over je klassieken kennen gesproken : Code of Hammurabi,
https://nl.wikipedia.org/wiki/Codex_Hammurabi
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.