Chống lại các lỗ hổng bảo mật một cách kinh tế

08:46 | 24/04/2015 | LỖ HỔNG ATTT

Việc trả thưởng cho việc tìm ra các lỗ hổng bảo mật mới sẽ không giúp chống lại chúng một cách hiệu quả. Đó là kết luận của một nhóm các nhà nghiên cứu tại MIT, Harvard và công ty bảo mật HackerOne (tổ chức thực hiện chương trình Internet Bug Bounty).

Tại hội thảo RSA diễn ra từ 20/4 - 24/4, Phụ trách bộ phận chính sách của HackerOne – bà Katie Moussouris và tiến sỹ Michael Siegel của Sloan School (MIT) trình bày một công trình nghiên cứu về kinh tế học của thị trường mua bán các lỗ hổng "zero-day" trong phần mềm và mạng, qua đó giải thích mô hình ứng xử của thị trường này.

Trong một bài blog tên là "The Wolves of Vuln Street" (Những con sói của phố Lỗ hổng), Moussouris đã tóm tắt các phát hiện của nhóm nghiên cứu và ý nghĩa của nó đối với các tổ chức và chính phủ đang cố gắng “vét cạn” những lỗ hổng bảo mật. Vấn đề chính là ở chỗ, mặc dù việc trả thưởng cho người phát hiện những lỗ hổng bảo mật mới rất hữu ích trong việc bảo vệ các phần mềm chưa hoàn thiện, nhưng có một số lỗ hổng có giá cao đến mức những người bảo vệ không thể nào mua được. Moussouris gợi ý rằng trong dài hạn, cần trả tiền cho các công cụ và kỹ thuật tự động giúp lập trình viên tự phát hiện lỗi.

Tại hội thảo Black Hat ở Las Vegas năm ngoái, Dan Geer – chuyên gia phân tích an ninh và là giám đốc an ninh thông tin của In-Q-Tel, một công ty do CIA hỗ trợ, đã đề xuất rằng chính phủ Hoa Kỳ nên tham gia thị trường mua bán lỗ hổng bảo mật và đưa ra những mức giá 6 chữ số để cạnh tranh với thị trường ngầm của giới tội phạm. Nhưng Geer cũng nói rằng cách làm đó chỉ phát huy tác dụng nếu số lỗ hổng là rất ít, nếu có quá nhiều lỗ hổng thì không có số tiền nào có thể mua được hết.

Trong bài viết của mình, bà Moussouris cho rằng cách tiếp cận đó sẽ tạo ra sự không cân xứng trong số lượng lỗ hổng zero-day thu được. Nếu các phần thưởng đều có giá trị như nhau thì những người săn lỗ hổng sẽ chỉ tập trung vào những đối tượng mới, chưa hoàn thiện để tìm ra những điểm yếu dễ ngăn chặn. Và việc dễ dàng kiếm tiền từ các chương trình treo thưởng cho lỗ hổng sẽ lãng phí tài năng của các lập trình viên, kéo họ khỏi công việc cần đến họ nhất: khắc phục những lỗi chưa được phát hiện.

Moussouris viết rằng "Không phải tất cả các hacker đều có động lực chính là tiền" và "Ngay cả những người bán lỗ hổng bảo mật cho Chính phủ cũng thường làm điều đó một cách chọn lọc, chủ ý chọn bên mua, ngay cả nếu ‘bên kia’ có thể trả họ nhiều tiền hơn". Việc tạo ra hệ thống trả thưởng lớn sẽ không tạo động lực cho họ thay đổi hành vi của mình.
Sau khi xây dựng mô hình để tìm hiểu cách tiếp cận nào sẽ phát huy tác dụng, Moussouris cho rằng mấu chốt của việc phòng thủ tốt hơn không phải là tìm và khắc phục càng nhiều lỗi càng tốt, mà là tối đa hóa số lượng lỗ hổng có thể tìm được trong số những thứ đã được giới tội phạm biết tới và khắc phục những lỗi đó. Sáng kiến Project Zero của Google làm một ví dụ cho cách tiếp cận này.

‹ › ×

Tin liên quan

Phương pháp phân tích Entropy để phát hiện che giấu mã độc

15:34 | 27/09/2012

Hiện nay, kỹ thuật đóng gói (code packing) bao gồm nén hoặc mã hóa được sử dụng để che giấu mã độc. Kỹ thuật này giúp cho các phần mềm virus khó bị phát hiện và đang đặt ra một thách thức không nhỏ cho quá trình phân tích mã độc để xác định đặc tính và chức năng của chúng.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.