Konsekvenserna av en marknad för skadlig kod

Jag har tidigare skrivit om hur en marknad för skadlig kod de sista åren etablerats. Den stora drivkraften för denna marknad ser ut att vara myndigheter som köper upp information om svagheter i civila system för att bygga cybervapen. Myndigheterna med sina stora ekonomiska resurser gör det plötsligt mycket ekonomiskt lönsamt att hitta och sälja svagheter. Detta till skillnad från att öppet berätta om svagheterna så att leverantörer får incitament att fixa svagheterna samt att användarna får chans att vida åtgärder som mildrar konsekvenserna av svagheterna. EFF har tidigare varnat för den här utvecklingen. Säkerhetsexperten Bruce Schneier har nu skrivit en mycket bra krönika som sätter fingret på varför den här utvecklingen är så problematisk. Bruce skriver:

I’ve long argued that the process of finding vulnerabilities in software system increases overall security. This is because the economics of vulnerability hunting favored disclosure. As long as the principal gain from finding a vulnerability was notoriety, publicly disclosing vulnerabilities was the only obvious path.

In fact, it took years for our industry to move from a norm of full-disclosure — announcing the vulnerability publicly and damn the consequences — to something called “responsible disclosure”: giving the software vendor a head start in fixing the vulnerability. Changing economics is what made the change stick: instead of just hacker notoriety, a successful vulnerability finder could land some lucrative consulting gigs, and being a responsible security researcher helped. But regardless of the motivations, a disclosed vulnerability is one that — at least in most cases — is patched. And a patched vulnerability makes us all more secure.

This is why the new market for vulnerabilities is so dangerous; it results in vulnerabilities remaining secret and unpatched. That it’s even more lucrative than the public vulnerabilities market means that more hackers will choose this path. And unlike the previous reward of notoriety and consulting gigs, it gives software programmers within a company the incentive to deliberately create vulnerabilities in the products they’re working on — and then secretly sell them to some government agency.

Eller som Dilbert så elegant illustrerade problemet:
PHB kommer med incitament för att fixa fel i kod.

Jag ser den här utvecklingen som den mest problematiska inom IT-säkerhet på många, många år. Speciellt för inbyggda system, SCADA, ICS, där det redan i dag är långt till samma mognadsnivå vad gäller att hitta, rapportera och fixa svagheter. Den här utvecklingen riskerar att med skattemedel göra oss alla mycket mer utsatta och oskyddade, när det borde vara precis tvärt om. Djupt oetiskt och långsiktigt ytterst korkat.

2 reaktioner på ”Konsekvenserna av en marknad för skadlig kod

  1. När det nu finns en marknad för ”vulnerabilities” så är det ju skönt att det också finns en marknad där man kan köpa ”securities”. ;-)

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>