Letzte Woche habe ich darüber geschrieben, dass Hacker beginnen, Microsoft (und andere Softwareanbieter) dazu zu bewegen, für Informationen über Sicherheitslücken zu bezahlen. Im Anschluss an diesen Beitrag habe ich ein paar Sicherheitsforschungsprofis angepingt und gefragt, ob sie damit einverstanden sind, dass es unvermeidlich ist, Bugs zu kaufen.
Letzte Woche habe ich über Hacker geschrieben, die anfangen, sich dafür einzusetzen Microsoft (und andere Softwareanbieter) beginnen damit, für Informationen zu Sicherheitslücken zu zahlen. Im Anschluss an diesen Beitrag habe ich ein paar Sicherheitsforschungsprofis angepingt und gefragt, ob sie damit einverstanden sind, dass es unvermeidlich ist, Bugs zu kaufen. Die Antworten:
Dan Geer, Vizepräsident und Chefwissenschaftler, VerdasysWer sagt, dass sie es nicht schon tun? Es ist ein schmaler Grat zwischen der Entscheidung, Schwachstellen zu kaufen, und der Zahlung von Schutz, und ob das wirklich ein Spiel geworden ist Wenn das beste Geschäft gewinnt, könnte Microsoft, wenn es möchte, die Erpresser unterstützen und kaufen aus.
In jeder Hinsicht haben sie das vor einiger Zeit versucht, indem sie jede Sicherheitsboutique im Land unter dem feindseligsten und belastendsten Vertrag der Welt eingestellt haben
Bedingungen (fragen Sie mich, woher ich das weiß), Bedingungen, die sicherstellten, dass jeder einzelne Schläger im Sortiment der Boutique nie wieder eine Schwachstelle ankündigen konnte.
Denn das hat nicht funktioniert – was Redmond beweist, dass es nicht die Sicherheitsboutiquen waren, die die Ursache für die Exploits waren wichtig – sie brauchen eine neue Strategie, eine, die nicht darauf angewiesen ist, die Feinheiten des Vertragsrechts der USA zu nutzen, um ihr Gewicht zu erhöhen um. Während über Geld geredet wird und Bullshit läuft, besteht ihre einzige Möglichkeit darin, den Schwarzmarkt zu überbieten.
Das ist natürlich schwierig. Wenn die USA die bolivianischen Bauern wirklich dazu bringen wollen, den Kokaanbau einzustellen, müssen wir den Salatanbau auf dem US-amerikanischen Festland betreiben. illegal (was die Preise für etwas erhöht, das man in der dünnen Luft und den kalten Temperaturen Boliviens anbauen kann), oder wir müssen das Cali-Kartell für die Ernte überbieten vollständig. Dito Redmond; MSFT kann die Exploit-Autoren nicht davon abhalten, das zu tun, was sie tun, außer indem es ihnen ein Angebot macht, das sie nicht ablehnen können.
Da 5 Milliarden US-Dollar an ungenutztem Bargeld herumliegen, ist es fast kriminell, dass MSFT den Markt nicht einfach in die Enge getrieben hat. Je länger sie warten, desto mehr steigt natürlich der Preis für den Aufkauf der Opposition, und tatsächlich reichen diese 5 Milliarden US-Dollar möglicherweise nicht mehr aus Es besteht jedoch kein Zweifel daran, dass eine kreative Preisstruktur echte Auswirkungen haben würde, z. B. dass Informanten das Zweifache ihres Code-Betrags zahlen würden Sportler.
Wenn ich der Richter im Monopolprozess gewesen wäre, hätte ich ihnen die Wahl gelassen, ob sie sich von 50 % ihrer Anteile zurückziehen möchten Markt betreiben oder ihren gesamten freien Cash-Pool auf die Beendigung der Monokultur setzen, besteht das Risiko, dass ihr Monopol immer besteht wird sein. „Du kannst alles haben, aber es ist alles deine Schuld, oder auch nicht.“
Dave Aitel, Forscher/CTO, Immunität
Informationen zu Sicherheitslücken sind Geld wert. Das war der Hauptgrund für den Vulnerability Sharing Club von Immunity, der 2002 den Markt für 0-Day-Bugs öffnete. Dies macht es zwar nicht unvermeidlich, dass Microsoft damit beginnt, direkt für Informationen zu Sicherheitslücken zu bezahlen (und ich Sie haben keinen Grund zu der Annahme, dass dies nicht bereits der Fall ist. Für sie ist dies jedoch die günstigste und kosteneffektivste Option. Die Beauftragung von Beratern ist teuer und zahlt sich unterschiedlich aus. Der Kauf von Schwachstellen ist zwar nicht billig, aber eine sichere Sache.Vielleicht sollte die Frage auf den Kopf gestellt werden: Wenn Microsoft kaufen würde, würden die meisten Hacker dann an Microsoft verkaufen?
Hier ist eine weitere Frage: Gibt Microsoft Geld an TippingPoint/iDefense? Ich denke, die Antwort wäre interessant.
Dave Goldsmith, Präsident, Matasano Security
Ich glaube nicht, dass Microsoft in naher Zukunft anfangen wird, Schwachstellen zu kaufen. Wenn dies der Fall wäre, würde dies den aufblühenden Markt für Schwachstellen beschleunigen (z. B. iDefense, Zero Day Initiative). Sie würden ein etwas umstrittenes Geschäftsmodell validieren, das droht, Microsoft für Schwachstelleninformationen bezahlen zu lassen, die sie derzeit kostenlos erhalten.
Könnte sich das ändern? Sicher, wenn die meisten Schwachstellen nur zum Verkauf angeboten werden und/oder wenn Schwachstellenmärkte gut etabliert sind. Andernfalls expandieren sie lediglich eine Branche, die weder ihnen noch ihren Kunden hilft.
Halvar Flake, CEO und Forschungsleiter, Sabre Security
Ich weiß wirklich nicht, ob Microsoft anfangen wird, für Schwachstellen zu bezahlen. Sie haben in der Vergangenheit sehr hartnäckig darauf bestanden, sich nicht erpressen zu lassen, daher wäre ich überrascht, wenn ich sähe, dass sie ihre Meinung ändern würden.
Andererseits ist die Übermittlung eines Fehlers an einen Anbieter für den Schwachstellenforscher in der Regel ein großer Aufwand. und es könnte funktionieren, einen finanziellen Anreiz zu geben, mit dem Anbieter zusammenzuarbeiten (und Zeit-/Produktivitätsverluste zu verursachen). Also.
Auch wenn MS anfängt, für ihre Fehler zu zahlen, könnte es insgesamt tatsächlich „gut“ sein: Zuvor hatte der Forscher die Wahl, die zu geben Bugs an Leute mit fragwürdigen Zielen gegen Geld weitergeben oder Bugs an Leute mit den richtigen Zielen weitergeben, aber nichts einbringen zurückkehren.
Wenn MS anfangen würde, für Fehler zu zahlen, hätten die Forscher die Wahl, das „Richtige“ zu tun und trotzdem davon zu profitieren.
RSnake, Hacker/Berater, ha.ckers.org
Ehrlich gesagt bezweifle ich wirklich, dass das passieren wird, angesichts der Gespräche, die ich bisher mit Microsoft geführt habe. Dies ist ein Ausschnitt aus einer E-Mail, die ich von ihnen erhalten habe:
„Wir verstehen, dass einige Finder für ihre Forschung geschätzt werden möchten, und obwohl Microsoft sich nicht am Kauf von Schwachstellen beteiligt, gibt es mehrere Broker, bei denen es sich um seriöse Organisationen handelt.“ Für Leute, die daran interessiert sind, ihre Arbeit zu verkaufen, empfehlen wir, die Schwachstellen an Unternehmen wie Tipping Point oder andere zu senden, die Schwachstellen kaufen.“
Sie empfehlen die Broker, die wiederum die Fehler kostenlos an Microsoft weitergeben. Sie bekommen auch Bugs (kostenlos) von Leuten wie mir, die ihnen dabei helfen, bestimmte Deals mit Leuten auszuhandeln, die Angst davor haben, direkt mit Microsoft zu sprechen.
HD Moore, Gründer, Metasploit
Verschiedener Meinung sein. Ich glaube, wenn ein Anbieter beginnen würde, Schwachstellen in seinem eigenen Produkt zu kaufen, würde er sich einer Erpressung aussetzen.
Microsoft hat es jetzt großartig – sie erhalten Fehlerberichte kostenlos, auch wenn das Unternehmen, das sie einreicht, jemand anderen für die Recherche bezahlen musste. Wenn sie sich dazu entschließen würden, mit iDefense oder ZDI um ihre eigenen Schwachstellen zu konkurrieren, könnte der Bieterkrieg alle drei Programme (MSFT, iDefense, ZDI) finanziell zerstören. Wenn ZDI einen Fehler von einem Forscher kauft, was hindert ihn dann daran, denselben Fehler an Microsoft weiterzuverkaufen?