OWASP AppSec Europe 2009, keynote första dagen

(Publicerad 2009-05-13)

OWASP AppSec i Krakow, Polen har börjat. Första dagens keynote ges av Ross Anderson från universitetet i Cambridge.

Ross är en av mina stora förebilder i branschen, precis som Schneier har han en väldigt bred och klar syn på säkerhetsfrågor.

Security economics
Inte helt oväntat så fokuserade Ross på ekonomiska aspekter av säkerhet. Han, och ett gäng andra forskare, kallar området för "security economics". Den centrala idén är upptäckten att system ofta inte brister av tekniska skäl utan på grund av att incitamenten att skydda dem ligger på fel personer. Den eller de personer som har bäst möjlighet att göra ett system säkert är inte samma person eller personer som lider av dess säkerhetsbrister.

Security economics kan förklara många av de fundamentala problem som finns inom säkerhet. Varför skulle en användare betala för antivirus när det skyddar mot malware som attackerar Microsoft (masken Blaster)?  Masken utnyttjar ju till och med säkerhetshål som Microsoft själva är ansvariga för.

Är säkerhet kommersiellt irrationellt?
Utvecklarnas incitament för säkerhet är i direkt konkurrens med vad som är kommersiellt rationellt. På 90-talet (innan de ägde marknaden) hade Microsoft (enligt utsago) talesättet "We'll ship it on tuesday and get it right by version 3". Det låter illa men när man tänker efter är det helt rimligt. Att ta marknaden  fort genom att tillfredsställa kunder och därmed få stor användarbas leder till att utvecklare vill göra sina program för plattformen. Stort utbud av programvara leder sedan till fler användare. Cirkeln är sluten.

Så, hur lockar man användare? Funktionalitet. Hur lockar man utvecklare? Besvära dem inte med säkerhet. Användarna får ta kostnaden för säkerhetsproblem. Facebook-grundaren Mark Zuckerberg (som också har tagit över sin marknad totalt) formulerade sig så här:

"Growth is primary, revenue is secondary."

Det handlar alltså om klassisk "customer-lock-in". Om vi hoppar framåt lite:

När man tänker på ett systems säkerhet bör man alltså ta reda på vem som har störst möjlighet att göra det säkert alternativt försvara det. Krasst sett är det den personen som borde få lida för eventuella säkerhetsbrister.

Här ligger lagstiftning om att hålla utvecklingsföretag ansvariga för säkerhetshål  väldigt nära. Det är ingen idé att skriva något om detta här, Bruce Schneier har förstås redan beskrivit det hela mycket väl:

Information Security and Externalities

Software Makers Should Take Responsibility

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0