Vergangene Veranstaltungen

ISSS Security Lunch: "The Known Unknowns & Outbidding Cyber Criminals"

ISSS

25.09.2014 12:00 - 25.09.2014 14:00
Restaurant Schmiedstube
- Bern

Laufend werden neue Sicherheitsschwachstellen entdeckt, die von Cybercriminals ausgenutzt werden und dadurch erhebliche finanzielle Verluste für Anbieter, Nutzer und die Gesellschaft als ganzes mit sich bringen.


Der klassische Lösungsansatz, mit dem versucht wird das Problem in den Griff zu kriegen, besteht oft darin, immer mehr und komplexere Sicherheitstechnologien einzusetzen, in der Hoffnung Attacken zu verhindern oder zumindest einzugrenzen. Die Erfahrung zeigt uns aber, dass damit zumindest bisher kein durchschlagender Erfolg verzeichnet werden konnte.


Dr. Stefan Frei wird in seinem Referat auf eine andere, neuartige Möglichkeit eingehen um mit der Bedrohung durch Softwareschwachstellen umzugehen. Die Ergebnisse basieren auf einer umfassenden Studie, die er im Rahmen seiner Funktion als Research Director von NSS Labs geleitet hat. Dabei wird er zuerst aufzeigen, dass aktuelle Ansätze um die Problematik einzugrenzen tatsächlich einen begrenzten Nutzen bringen. So verfügten z.B. privilegierte Gruppen im Durchschnitt an jedem Tag der letzten drei Jahre über mehr als 100 noch nicht publizierte und damit den Betroffenen noch nicht bekannte Schwachstellen, sogenannte “Known Unknowns”.


Basierend auf dieser Erkenntnis präsentiert Herr Frei einen ganz anderen Lösungsansatz. Die Überlegung ist die, dass man noch nicht öffentlich bekannte Softwareschwachstellen, welche auf dem Cyber Black Market gehandelt werden, systematisch den Cybercriminals „wegkauft“, indem man konsequent höhere Preise bietet – man versucht also, die Cybercriminals durch ökonomische Massnahmen zu schlagen, so dass diese gar nie in den Besitz ausnutzbarer Schwachstellen geraten.


Um dies empirisch zu untermauern wurden im Rahmen der Studie bereits verfügbare Vulnerability Purchase Programs analysiert. Dies erlaubt Aussagen, welcher Anteil der Schachstellen bereits heute über diese Kanäle verkauft werden, wieviel Geld dabei fliesst und was umgekehrt die Preise auf dem Cyber Black Market sind. In seiner Analyse kommt Herr Frei zum Schluss, dass es einen Softwarehersteller typischerweise weniger als 1% seines Umsatzes kostet, wenn er sämtliche „seine“ Schwachstellen zu USD 150'000 pro Stück selbst zurückkaufen würde. Selbst wenn alle Schwachstellen durch ein internationales Bug-Bounty Programm gekauft würden, betragen die damit verbundenen Kosten weniger als 0.01% des Bruttosozialprodukts in der USA oder der EU, oder weniger als 1% der geschätzten Kosten von Cybercrime. Es ist für die Hersteller und die Gesellschaft  deshalb ökonomisch durchaus sinnvoll, die Schwachstellen selbst im grossen Stil zu kaufen um die Verluste zu reduzieren, legale Incentives für den Verkauf von Schwachstellen zu schaffen und um Transparenz zu bieten.

https://www.isss.ch/veranstaltungen/2014/security-lunch-2014-09-25/

 

 

Kosten: CHF 50.- (inklusive 2-Gang Menü, Mineralwasser, 1 Kaffee oder Tee)
Zurück zur Liste