Chống lại các lỗ hổng bảo mật một cách kinh tế

08:42 | 24/04/2015

Việc trả thưởng cho việc tìm ra các lỗ hổng bảo mật mới sẽ không giúp chống lại chúng một cách hiệu quả. Đó là kết luận của một nhóm các nhà nghiên cứu tại MIT, Harvard và công ty bảo mật HackerOne (tổ chức thực hiện chương trình Internet Bug Bounty).

Tại hội thảo RSA diễn ra từ 20/4 - 24/4, Phụ trách bộ phận chính sách của HackerOne – bà Katie Moussouris và tiến sỹ Michael Siegel của Sloan School (MIT) trình bày một công trình nghiên cứu về kinh tế học của thị trường mua bán các lỗ hổng "zero-day" trong phần mềm và mạng, qua đó giải thích mô hình ứng xử của thị trường này. 

Trong một bài blog tên là "The Wolves of Vuln Street" (Những con sói của phố Lỗ hổng), Moussouris đã tóm tắt các phát hiện của nhóm nghiên cứu và ý nghĩa của nó đối với các tổ chức và chính phủ đang cố gắng “vét cạn” những lỗ hổng bảo mật. Vấn đề chính là ở chỗ, mặc dù việc trả thưởng cho người phát hiện những lỗ hổng bảo mật mới rất hữu ích trong việc bảo vệ các phần mềm chưa hoàn thiện, nhưng có một số lỗ hổng có giá cao đến mức những người bảo vệ không thể nào mua được. Moussouris gợi ý rằng trong dài hạn, cần trả tiền cho các công cụ và kỹ thuật tự động giúp lập trình viên tự phát hiện lỗi.

Tại hội thảo Black Hat ở Las Vegas năm ngoái, Dan Geer – chuyên gia phân tích an ninh và là giám đốc an ninh thông tin của In-Q-Tel, một công ty do CIA hỗ trợ, đã đề xuất rằng chính phủ Hoa Kỳ nên tham gia thị trường mua bán lỗ hổng bảo mật và đưa ra những mức giá 6 chữ số để cạnh tranh với thị trường ngầm của giới tội phạm. Nhưng Geer cũng nói rằng cách làm đó chỉ phát huy tác dụng nếu số lỗ hổng là rất ít, nếu có quá nhiều lỗ hổng thì không có số tiền nào có thể mua được hết. 

Trong bài viết của mình, bà Moussouris cho rằng cách tiếp cận đó sẽ tạo ra sự không cân xứng trong số lượng lỗ hổng zero-day thu được. Nếu các phần thưởng đều có giá trị như nhau thì những người săn lỗ hổng sẽ chỉ tập trung vào những đối tượng mới, chưa hoàn thiện để tìm ra những điểm yếu dễ ngăn chặn. Và việc dễ dàng kiếm tiền từ các chương trình treo thưởng cho lỗ hổng sẽ lãng phí tài năng của các lập trình viên, kéo họ khỏi công việc cần đến họ nhất: khắc phục những lỗi chưa được phát hiện.

Moussouris viết rằng "Không phải tất cả các hacker đều có động lực chính là tiền" và "Ngay cả những người bán lỗ hổng bảo mật cho Chính phủ cũng thường làm điều đó một cách chọn lọc, chủ ý chọn bên mua, ngay cả nếu ‘bên kia’ có thể trả họ nhiều tiền hơn". Việc tạo ra hệ thống trả thưởng lớn sẽ không tạo động lực cho họ thay đổi hành vi của mình.
Sau khi xây dựng mô hình để tìm hiểu cách tiếp cận nào sẽ phát huy tác dụng, Moussouris cho rằng mấu chốt của việc phòng thủ tốt hơn không phải là tìm và khắc phục càng nhiều lỗi càng tốt, mà là tối đa hóa số lượng lỗ hổng có thể tìm được trong số những thứ đã được giới tội phạm biết tới và khắc phục những lỗi đó. Sáng kiến Project Zero của Google làm một ví dụ cho cách tiếp cận này.