Ética y economía en la investigación de seguridad

7

¿Cómo podemos diseñar un mercado para la divulgación de información donde los investigadores de seguridad individuales puedan beneficiarse económicamente de una manera ética?

Suponga un mercado en el que los participantes sean gobiernos, investigadores (blanco y negro), instituciones educativas, corporaciones y organizaciones no gubernamentales sin fines de lucro.

¿Qué regulaciones o mecanismos reducirían las ganancias para los investigadores individuales de Black Hat y permitirían a los investigadores individuales de White Hat obtener ganancias éticas?

¿Qué procedimientos o mecanismos evitarían el abuso por parte de los gobiernos donde residen los investigadores o de las empresas para las que trabajan?

    
pregunta blunders 17.11.2011 - 19:37
fuente

2 respuestas

6

Hay una variedad de enfoques para promover el descubrimiento y la solución de vulnerabilidades de software. Las formas más comunes de proporcionar compensación a los investigadores son recompensas de errores (administradas por proveedores) y agentes de vulnerabilidad (que compran y venden información sobre vulnerabilidades aplicables a software popular). Estos están bien descritos en Una comparación de los enfoques de mercado con la divulgación de vulnerabilidad de software (2006) por Rainer Böhme, pero señala que cada uno de ellos tiene defectos graves y no conduce al tipo de inversión en investigación o al compromiso de los proveedores que necesitamos para enfrentar los enormes problemas del software inseguro. Los corredores de vulnerabilidad de sombrero negro, que no lanzan las vulnerabilidades a los proveedores, pagan mucho más (¿un factor de 10?) A los investigadores de sombrero negro que los corredores más éticos. El resultado es que una gran parte de la investigación pasa a la clandestinidad y contribuye a la inseguridad de Internet en lugar de a la seguridad.

Creo que la propuesta de Böhme para explotar derivados es una forma de mercado muy prometedora para explorar, para lograr exactamente lo que está hablando. Proporciona a los investigadores una forma de ganar dinero al descubrir una vulnerabilidad sin tener que revelarla de forma peligrosa. Como escribe Böhme:

  

considere un contrato que paga a su propietario la suma de 100 EUR el 30 de junio de 2006, por ejemplo, si existe una explotación remota de la raíz contra una versión de ssh específicamente especificada en una plataforma definida. Es fácil emitir este tipo de contactos, ya que lo vendería como un paquete con el contrato inverso que paga 100 EUR si el programa ssh no se rompe dentro del vencimiento. Luego, diferentes partes pueden negociar los contratos en una plataforma de negociación electrónica que combina los precios de oferta y demanda, resuelve las ofertas y publica las cotizaciones de precios.

     

[Este tipo de mercado atraería a una variedad de grupos de participantes del mercado:]

     

los usuarios de software exigirían contratos que paguen por incumplimientos para cubrir los riesgos a los que están expuestos debido a su red informática ...

     

Los proveedores de software podrían exigir contratos que paguen si su software permanece seguro como un medio para indicar a sus clientes que confían en su propio sistema; o contratos que pagan si el software de sus competidores se rompe ...

     

los proveedores de software [podrían] utilizar derivados de explotación como parte de sus esquemas de compensación para dar a los desarrolladores un incentivo para asegurar la programación ...

     

Finalmente, los expertos en seguridad podrían usar el mercado para capitalizar el esfuerzo en los análisis de seguridad. Si,   Después de una revisión del código, consideran un software como   seguro, podrían comprar contratos en el seguro   Estado a una tasa más alta que el precio de mercado.

Son una aplicación de " opciones binarias " para eventos de seguridad. Consulte Exploit Derivatives & Seguridad nacional por Micah Schwalb para más detalles.

El principal problema parece ser que se pueden usar varias leyes en diversas jurisdicciones para inhibir el flujo de información sobre vulnerabilidades, como discute Schwalb, por lo que es algo en lo que hay que trabajar, y propone una idea para habilitar un piloto de este tipo de mercado al hacer excepciones a la ley para el mundo emergente importante pero riesgoso de las vulnerabilidades de ipv6.

Vea otras opciones y más información sobre este sitio en: ¿Avances en los enfoques de mercado para la divulgación de vulnerabilidad de software? - Seguridad de TI - Intercambio de pila

    
respondido por el nealmcb 20.11.2011 - 05:05
fuente
3

Hay varios sitios que apoyan la divulgación ética. El movimiento a menudo se conoce como "No más errores libres"

Una búsqueda en Google para el mismo mostró esta lista de sitios de recompensas / recompensas que parecen legítimos, por supuesto que no puedo responder por todos ellos ...

enlace

    
respondido por el random65537 17.11.2011 - 19:50
fuente

Lea otras preguntas en las etiquetas