image

Expert: VS moet alle zero days opkopen en openbaar maken

vrijdag 8 augustus 2014, 12:20 door Redactie, 12 reacties

De Amerikaanse overheid zou alle zero day-lekken die op marktplaatsen worden aangeboden moeten opkopen, om ze vervolgens openbaar te maken zodat leveranciers ze kunnen patchen. Daarvoor pleitte beveiligingsexpert Dan Geer deze week tijdens zijn keynote op de Black Hat conferentie in Las Vegas.

"Als een paar Texaanse broers de zilvermarkt konden openbreken, is er geen twijfel dat de Amerikaanse overheid de markt voor softwarelekken kan openbreken", aldus Geer, die eraan toevoegt dat opgekochte onbekende lekken waarvoor nog geen patch beschikbaar is vervolgens openbaar worden gemaakt. Om partijen te kunnen overtuigen dat ze de lekken verkopen zou de Amerikaanse overheid bijvoorbeeld tien keer zoveel kunnen bieden als andere bieders.

"Natuurlijk zijn er mensen die zeggen dat ze Amerikanen haten en alleen aan Oekraïners verkopen, maar omdat er bij het vinden van lekken steeds meer van automatisering gebruik wordt gemaakt, zal de verkoper die niet aan Amerikanen verkoopt weten dat zijn lekken uiteindelijk kunnen worden ontdekt door iemand die wel aan Amerikanen verkoopt, die het vervolgens aan iedereen vertellen. Daardoor is de noodzaak om voor de verkoper om zijn product te verkopen voordat het verlopen is onweerstaanbaar", aldus Geer.

Neveneffecten

De bruikbaarheid van de strategie is volgens Geer aan twee neveneffecten te danken. Ten eerste zorgen de hoge beloningen ervoor dat de groep mensen die beveiligingslekken kan vinden groeit. Als tweede punt zorgt het openbaren van de lekken ervoor dat ze minder waard worden. "Anders gezegd, door veel meer te betalen wordt het vinden van lekken versneld, en door iedereen te laten zien wat we hebben gekocht, legen we de voorraad cyberwapens van onze vijanden."

Doordat er voor zero day-lekken geen patches beschikbaar zijn, zijn ze zeer effectief om computers over te nemen. Zero days worden dan ook vaak met "cyberwapens" vergeleken. Geer merkt op dat het niet nodig is om informatie over de wapens van de vijand te hebben als de VS zelf over een bijna compleet arsenaal van alle lekken ter wereld beschikt en die met alle betreffende softwareleveranciers deelt.

De vraag is echter hoeveel softwarelekken er zijn. Als er grote aantallen lekken in software aanwezig zijn dan zullen de kosten voor zowel belastingbetalers als softwareleveranciers en ontwikkelaars alleen maar stijgen, doordat ze alle gevonden lekken moeten repareren en er voor alle gevonden lekken betaald wordt. Geer denkt dat de hoeveelheid nog onontdekte softwarelekken beperkt is en dat zijn idee wel kan werken. "Daarom denk ik dat het openbreken van de markt de goedkoopste mogelijk manier is om te winnen", zo concludeert hij.

Reacties (12)
08-08-2014, 13:02 door Anoniem
Grappig plan, wie garandeert dat de opkopende overheid (amerikaans of anderszins) echt alle lekken aan de softwaremakers doorgeeft? Het is een ideale manier om vat op alle software te krijgen en te doen wat je zelf nuttig vind. Volgens mij kun je geen enkel land hiermee vertrouwen en zou het eerder de taak van de makers van de software zijn, om de lekken in haar produkten op te kopen en te dichten. Zij hebben het meeste belang bij het niet misbruiken van hun produkt.
08-08-2014, 14:33 door Anoniem
Dit is wel een beetje stemmen om geld voor jezelf zeg. Gewoon van de staat een oneindige geldkraan voor hoedjesdragerts verlangen. Geniaal.
08-08-2014, 14:45 door Anoniem
Volgens mij is dit geen oplossing. Hoeveel geld gaat dit wel niet kosten?
08-08-2014, 15:01 door D0rus
Op eerste gezicht een bizar idee, maar hoe meer ik er over nadenk, hoe beter ik het eigenlijk vind. De techneut in mij zegt dat je gewoon geen lekke software moet maken, maar op organisatie niveau is dat gewoon niet mogelijk, je moet de kosten van het vinden van een lek afwegen tegen de opbrengst. Zelfs met de beste wil, zullen de economische wetten je gewoon inhalen als je oneindig dure (maar veilige) software probeert te verkopen.

Veel beter is responsible disclosure, waarbij bedrijven aan de ene kant voldoende tijd krijgen het probleem op te lossen (en dit uiteraard wel doen), en aan de andere kant onderzoekers voldoende vergoeding krijgen om het zoeken naar het lek te financieren hierdoor ontstaat er een legale markt, en maak je gebruik van de kennis van de massa. Door het criminaliseren van mensen die lekken melden, bereik je juist het tegenovergestelde: Eerlijke onderzoekers haken af, terwijl criminele hackers hun vindingen voor goed geld verkopen aan exploit kits etc.

Voor het vinden van lekken gelden economische regels: het eerste lek vinden kost een uurtje werk (en dus één uurloon), het laatste lek vinden kost kwadratisch meer. We moeten gewoon erkennen dat er een zwarte markt voor lekken is, en dat het probleem gewoon groter wordt als de prijs voor lekken laag gehouden wordt. Juist met responsible disclosure drijf je de prijs op, ook al zullen er altijd criminele zijn die meer willen betalen dan jij, je verkleint wel het aanvalsgebied.

Het voorstel van Dan Geer komt eigenlijk gewoon neer op het verplicht maken van responsible disclosure, iets wat ik alleen maar kan toe juichen. Daarnaast hoeft het helemaal niet nodig te zijn 10x zoveel te betalen, met 5% meer zul je de meeste verkopers toch wel over de streep trekken, de wetten van de markt dicteren alleen dat de prijs dan hard omhoog zal schieten, als men weet dat de overheid jou lek tegen elke prijs opkoopt, dan vraag je natuurlijk 10x zoveel (en als een criminele bende geen lek kan kopen voor prijs X, dan betalen ze graag prijs 10X), echter zuig je daarmee wel de pot leeg, tevens worden doelwitten die niet genoeg poen opleveren ineens niet meer interessant voor criminelen, waardoor je die mensen effectief beschermt.

Totaal hoeft dit de overheid ook helemaal niet veel te kosten: Ze kunnen die kosten gewoon terug eisen van de getroffen bedrijven. Daar kunnen ze vast wel een leuk wetje voor maken, daarnaast vermoed ik dat bedrijven een stuk minder happig zullen zijn op het aanklagen van de overheid om "imagoschade" en allerlei andere vage smoesjes waar ze normaal mee komen als een lek publiek gemaakt dreigt te worden.
08-08-2014, 15:23 door Anoniem
Door Eric-Jan H te A.

Chrome x64 en inlogpagina zijn nog steeds geen vriendjes. Kan iemand dat bevestigen?

De overheid van de VS. Yes sure. Er zijn vast de nodige zero-days waarvan de NSA ze goed genoeg vinden om juist niet geopenbaard te worden in het belang van de nationale veiligheid.

Als het dan gebeurt, dan door een "onafhankelijk" orgaan als de UN of iets dergelijks.
08-08-2014, 15:54 door Anoniem
Ze hebben al gekkere dingen gedaan daar...
08-08-2014, 16:40 door Anoniem
Door D0rus: Op eerste gezicht een bizar idee, maar hoe meer ik er over nadenk, hoe beter ik het eigenlijk vind. De techneut in mij zegt dat je gewoon geen lekke software moet maken, maar op organisatie niveau is dat gewoon niet mogelijk, je moet de kosten van het vinden van een lek afwegen tegen de opbrengst.
Natuurlijk is het wel mogelijk. Je moet alleen willen. Maar dat was te moeilijk, het snelle geld was en is belangrijker, en dus is er een hele cottage industry ontstaan van hoedjesdragende, ethische "hackers" die zich specialiseren in het vinden van de zoveelste variatie van de buffer overflow, de sql injectie, of een ander exemplaar uit een beperkte categorie van vaste patronen. Dat is nauwlijks creatief (en dus geen "hacken" in originele zin; de term is gekaapt voor de marketeering) en al helemaal geen structurele oplossing: Het is specialiseren in dweilen met de kraan open.

En nu willen ze daar overheidssubsidie op? De enigen die daar echt beter van worden zijn deze artiesten in, nuja, het begint onderhand wel erg op zwendel te lijken.

Zelfs met de beste wil, zullen de economische wetten je gewoon inhalen als je oneindig dure (maar veilige) software probeert te verkopen.
Dat is niet waar. Ga maar kijken naar de kosten van het ontwikkelen van software voor toepassingen waar falen heel erg duur is, bijvoorbeeld stuursoftware voor raketten. Software bovendien met een heel beperkte installed base waardoor je die kosten niet over een groot aantal klanten kan uitsmeren. Goedkoop is die software zeker niet, maar oneindig duur ook weer niet.

Vergelijk daarnaast *kuch* zekere fabrikanten *kuch* van *kuch* zekere zeer veel gebruikte software *kuch* met dus een enorme installed base. Die software draait 90%+ marge per verkocht kopie. Je maakt mij niet wijs dat je daarmee tweevoudige of zelfs drievoudige ontwikkelkosten niet zou kunnen opvangen. Dat hadden ze kunnen doen, en als ze er niet eerst een tiental jaren expres met de pet naar hadden gegooid hadden ze nu een beter product met een veel betere beveiliging gehad.

Ik denk dus niet dat het redelijk is om de belastingbetaler (om het even van welk land) op te laten draaien voor zulke structurele, laakbare laksheid en daarmee voortdurende grove nalatigheid.

Het voorstel van Dan Geer komt eigenlijk gewoon neer op het verplicht maken van responsible disclosure, iets wat ik alleen maar kan toe juichen.
Zeker als je in die hoek zit want het is een garantie op betaald worden. In de private sector leven en toch een geldgarantie van de staat? Doet u maar meneer!

Totaal hoeft dit de overheid ook helemaal niet veel te kosten: Ze kunnen die kosten gewoon terug eisen van de getroffen bedrijven. Daar kunnen ze vast wel een leuk wetje voor maken, daarnaast vermoed ik dat bedrijven een stuk minder happig zullen zijn op het aanklagen van de overheid om "imagoschade" en allerlei andere vage smoesjes waar ze normaal mee komen als een lek publiek gemaakt dreigt te worden.
Zo "gewoon" is dat niet. Ben wel met je eens dat daar het geld vandaan moet komen, maar of de overheid er tussen moet gaan zitten weet ik zo net nog niet. En het hieraan uitgeven zet geen zoden aan de dijk en is daarmee een garantie op nauwlijks waar voor je geld krijgen. Niet dat de belastingbetaler die kennis vreemd is, maar dat wil nog niet zeggen dat iedereen zichzelf dan maar op deze manier geld moet gaan toebedelen.
08-08-2014, 18:15 door Anoniem
Geer zegt meer :

Hij wijst tevens op de eigen verantwoordelijkheid.
Software aanbieders/ontwikkelaars moeten er geen potje van maken en (nog) meer hun verantwoordelijkheden nemen voor het ontwikkelen van veilige software.
Enige meer wettelijke stimulans dat te doen lijkt wat hem betreft gewenst.

He even quoted the Code of Hammurabi (circa 1700 B.C.) while suggesting that product liability be applied to source code. “If a builder builds a house for someone, and does not construct it properly, and the house which he built falls in and kills its owner, then the builder shall be put to death,” he said. While the death penalty may be a little severe for software makers who fail to adequately secure their products, criminal and civil liability isn’t, he suggests.
http://www.wired.com/2014/08/cia-0day-bounty/

Een zeer eigen stijl en inkleding van opvattingen kan deze wilde bakkebaardmans niet worden ontzegd.
Over je klassieken kennen gesproken : Code of Hammurabi,
https://nl.wikipedia.org/wiki/Codex_Hammurabi
08-08-2014, 18:35 door johanw
Hmmm. Ik ga software op d emarkt brengen met opzettelijk lekken erin, uiteindelijk "vind" een handlanger die en verkoopt ze voor veel aan de USA. Da's lekker cashen.
08-08-2014, 19:50 door Anoniem
Meteen alle kosten verhalen op de softwaremaker. Lost een boel op.
09-08-2014, 01:29 door johanw
Door Anoniem: Meteen alle kosten verhalen op de softwaremaker. Lost een boel op.
Dat lost vooral het feit dat mensen uberhaupt software uitbrengen op.
09-08-2014, 06:53 door Anoniem
johanw, Zal wel meevallen. De IT (software) is het enige gebied dat ik ken waar de aansprakelijkheid voor ondeugdelijke waar niet geregeld is, liever gezegd, geen gewoonte is. Als je bedoeld dat het uitbrengen van iets wat kwalitief niet voldoet, gestopt wordt. Dat is een kenmerk van een volwassen markt. Prima toch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.