Hay una variedad de enfoques para promover el descubrimiento y la solución de vulnerabilidades de software. Las formas más comunes de proporcionar compensación a los investigadores son recompensas de errores (administradas por proveedores) y agentes de vulnerabilidad (que compran y venden información sobre vulnerabilidades aplicables a software popular). Estos están bien descritos en Una comparación de los enfoques de mercado con la divulgación de vulnerabilidad de software (2006) por Rainer Böhme, pero señala que cada uno de ellos tiene defectos graves y no conduce al tipo de inversión en investigación o al compromiso de los proveedores que necesitamos para enfrentar los enormes problemas del software inseguro. Los corredores de vulnerabilidad de sombrero negro, que no lanzan las vulnerabilidades a los proveedores, pagan mucho más (¿un factor de 10?) A los investigadores de sombrero negro que los corredores más éticos. El resultado es que una gran parte de la investigación pasa a la clandestinidad y contribuye a la inseguridad de Internet en lugar de a la seguridad.
Creo que la propuesta de Böhme para explotar derivados es una forma de mercado muy prometedora para explorar, para lograr exactamente lo que está hablando. Proporciona a los investigadores una forma de ganar dinero al descubrir una vulnerabilidad sin tener que revelarla de forma peligrosa. Como escribe Böhme:
considere un contrato que paga a su propietario la suma de 100 EUR el 30 de junio de 2006, por ejemplo, si existe una explotación remota de la raíz contra una versión de ssh específicamente especificada en una plataforma definida. Es fácil emitir este tipo de contactos, ya que lo vendería como un paquete con el contrato inverso que paga 100 EUR si el programa ssh no se rompe dentro del vencimiento. Luego, diferentes partes pueden negociar los contratos en una plataforma de negociación electrónica que combina los precios de oferta y demanda, resuelve las ofertas y publica las cotizaciones de precios.
[Este tipo de mercado atraería a una variedad de grupos de participantes del mercado:]
los usuarios de software exigirían contratos que paguen por incumplimientos para cubrir los riesgos a los que están expuestos debido a su red informática ...
Los proveedores de software podrían exigir contratos que paguen si su software permanece seguro como un medio para indicar a sus clientes que confían en su propio sistema; o contratos que pagan si el software de sus competidores se rompe ...
los proveedores de software [podrían] utilizar derivados de explotación como parte de sus esquemas de compensación para dar a los desarrolladores un incentivo para asegurar la programación ...
Finalmente, los expertos en seguridad podrían usar el mercado para capitalizar el esfuerzo en los análisis de seguridad. Si,
Después de una revisión del código, consideran un software como
seguro, podrían comprar contratos en el seguro
Estado a una tasa más alta que el precio de mercado.
Son una aplicación de " opciones binarias " para eventos de seguridad. Consulte Exploit Derivatives & Seguridad nacional
por Micah Schwalb para más detalles.
El principal problema parece ser que se pueden usar varias leyes en diversas jurisdicciones para inhibir el flujo de información sobre vulnerabilidades, como discute Schwalb, por lo que es algo en lo que hay que trabajar, y propone una idea para habilitar un piloto de este tipo de mercado al hacer excepciones a la ley para el mundo emergente importante pero riesgoso de las vulnerabilidades de ipv6.
Vea otras opciones y más información sobre este sitio en: ¿Avances en los enfoques de mercado para la divulgación de vulnerabilidad de software? - Seguridad de TI - Intercambio de pila