Chống lại các lỗ hổng bảo mật một cách kinh tế

08:46 | 24/04/2015 | LỖ HỔNG ATTT

Việc trả thưởng cho việc tìm ra các lỗ hổng bảo mật mới sẽ không giúp chống lại chúng một cách hiệu quả. Đó là kết luận của một nhóm các nhà nghiên cứu tại MIT, Harvard và công ty bảo mật HackerOne (tổ chức thực hiện chương trình Internet Bug Bounty).

Tại hội thảo RSA diễn ra từ 20/4 - 24/4, Phụ trách bộ phận chính sách của HackerOne – bà Katie Moussouris và tiến sỹ Michael Siegel của Sloan School (MIT) trình bày một công trình nghiên cứu về kinh tế học của thị trường mua bán các lỗ hổng "zero-day" trong phần mềm và mạng, qua đó giải thích mô hình ứng xử của thị trường này.

Trong một bài blog tên là "The Wolves of Vuln Street" (Những con sói của phố Lỗ hổng), Moussouris đã tóm tắt các phát hiện của nhóm nghiên cứu và ý nghĩa của nó đối với các tổ chức và chính phủ đang cố gắng “vét cạn” những lỗ hổng bảo mật. Vấn đề chính là ở chỗ, mặc dù việc trả thưởng cho người phát hiện những lỗ hổng bảo mật mới rất hữu ích trong việc bảo vệ các phần mềm chưa hoàn thiện, nhưng có một số lỗ hổng có giá cao đến mức những người bảo vệ không thể nào mua được. Moussouris gợi ý rằng trong dài hạn, cần trả tiền cho các công cụ và kỹ thuật tự động giúp lập trình viên tự phát hiện lỗi.

Tại hội thảo Black Hat ở Las Vegas năm ngoái, Dan Geer – chuyên gia phân tích an ninh và là giám đốc an ninh thông tin của In-Q-Tel, một công ty do CIA hỗ trợ, đã đề xuất rằng chính phủ Hoa Kỳ nên tham gia thị trường mua bán lỗ hổng bảo mật và đưa ra những mức giá 6 chữ số để cạnh tranh với thị trường ngầm của giới tội phạm. Nhưng Geer cũng nói rằng cách làm đó chỉ phát huy tác dụng nếu số lỗ hổng là rất ít, nếu có quá nhiều lỗ hổng thì không có số tiền nào có thể mua được hết.

Trong bài viết của mình, bà Moussouris cho rằng cách tiếp cận đó sẽ tạo ra sự không cân xứng trong số lượng lỗ hổng zero-day thu được. Nếu các phần thưởng đều có giá trị như nhau thì những người săn lỗ hổng sẽ chỉ tập trung vào những đối tượng mới, chưa hoàn thiện để tìm ra những điểm yếu dễ ngăn chặn. Và việc dễ dàng kiếm tiền từ các chương trình treo thưởng cho lỗ hổng sẽ lãng phí tài năng của các lập trình viên, kéo họ khỏi công việc cần đến họ nhất: khắc phục những lỗi chưa được phát hiện.

Moussouris viết rằng "Không phải tất cả các hacker đều có động lực chính là tiền" và "Ngay cả những người bán lỗ hổng bảo mật cho Chính phủ cũng thường làm điều đó một cách chọn lọc, chủ ý chọn bên mua, ngay cả nếu ‘bên kia’ có thể trả họ nhiều tiền hơn". Việc tạo ra hệ thống trả thưởng lớn sẽ không tạo động lực cho họ thay đổi hành vi của mình.
Sau khi xây dựng mô hình để tìm hiểu cách tiếp cận nào sẽ phát huy tác dụng, Moussouris cho rằng mấu chốt của việc phòng thủ tốt hơn không phải là tìm và khắc phục càng nhiều lỗi càng tốt, mà là tối đa hóa số lượng lỗ hổng có thể tìm được trong số những thứ đã được giới tội phạm biết tới và khắc phục những lỗi đó. Sáng kiến Project Zero của Google làm một ví dụ cho cách tiếp cận này.

‹ › ×

Tin liên quan

Phương pháp phân tích Entropy để phát hiện che giấu mã độc

15:34 | 27/09/2012

Hiện nay, kỹ thuật đóng gói (code packing) bao gồm nén hoặc mã hóa được sử dụng để che giấu mã độc. Kỹ thuật này giúp cho các phần mềm virus khó bị phát hiện và đang đặt ra một thách thức không nhỏ cho quá trình phân tích mã độc để xác định đặc tính và chức năng của chúng.

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.