Die Ökonomie von Zero-Day-Exploits

Die Bug-Bounty-Plattform HackerOne und Forscher vom MIT und aus Harvard haben untersucht, wie der Markt mit kritischen Sicherheitslücken funktioniert. Wie kann man verhindern, dass sie für viel Geld verkauft und destruktiv genutzt werden, wie kann man mehr „Responsible Disclosure“ fördern und sichern, dass man die gleichen Bugs findet wie bösartige Angreifer.

Das Ergebnis: Automatisierung kann mitunter besser helfen als mehr Experten, die sich Software anschauen, daher geht es auch darum, Werkzeuge zum AUffinden von Sicherheitslücken zu entwickeln. Die dann natürlich auch den echten Angreifern zur Verfügung stehen würde.

In the end, the tug of war between attackers and defenders will always exist. How we structure incentives toward making offense more expensive for attackers and giving more defenders and advantage is the question. There are more levers to tip the scales from one side to the other than just money, and defenders need to begin to use them.

The Wolves of Vuln Street are among us, yet we are studying the dynamics of the pack to make the shepherds of Internet defense more effective.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.