Friday, September 28, 2007

Excerpts from Ross Anderson / Tyler Moore Paper

I got a chance to read a new paper by one of my three wise men (Ross Anderson) and his colleague (Tyler Moore): Information Security Economics - and Beyond. The following are my favorite sections.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years, people have realised that security failure is caused by bad incentives at least as often as by bad design. Systems are particularly prone to failure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person guarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m does not suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full cost of failure...

[R]isks cannot be managed better until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be measured better. Most users cannot tell good security from bad, so developers are not compensated for efforts to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code. Some evaluation schemes are so badly managed that ‘approved’ products are less secure than random ones. Insurance is also problematic; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local and global correlations exhibited by different attack types largely determine what sort of insurance markets are feasible. Cyber-risk markets are thus generally uncompetitive, underdeveloped or specialised...

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observations that sparked interest in information security economics came from banking. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA, banks are generally liable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of card fraud; when a customer disputes a transaction, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank must eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r show she is trying to cheat it, or refund her money. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banks had a much easier ride: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y generally got away with claiming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems were ‘secure’, and telling customers who complained that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be mistaken or lying. “Lucky bankers,” one might think; yet UK banks spent more on security and suffered more fraud. This may have been what economists call a moral-hazard effect: UK bank staff knew that customer complaints would not be taken seriously, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y became lazy and careless, leading to an epidemic of fraud.

In 1997, Ayres and Levitt analysed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lojack car-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft prevention system and found that once a threshold of car owners in a city had installed it, auto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft plummeted, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen car trade became too hazardous. This is a classic example of an externality, a side-effect of an economic transaction that may have positive or negative effects on third parties. Camp and Wolfram built on this in 2000 to analyze information security vulnerabilities as negative externalities, like air pollution: someone who connects an insecure PC to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet does not face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full economic costs of that, any more than someone burning a coal fire. They proposed trading vulnerability credits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as carbon credits...

Asymmetric information plays a large role in information security. Moore showed that we can classify many problems as hidden-information or hidden-action problems. The classic case of hidden information is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘market for lemons'. Akerlof won a Nobel prize for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following simple yet profound insight: suppose that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 100 used cars for sale in a town: 50 well-maintained cars worth $2000 each, and 50 ‘lemons’ worth $1000. The sellers know which is which, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buyers don’t. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market price of a used car? You might think $1500; but at that price no good cars will be offered for sale. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market price will be close to $1000.

Hidden information, about product quality, is one reason poor security products predominate. When users can’t tell good from bad, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might as well buy a cheap antivirus product for $10 as a better one for $20, and we may expect a race to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom on price.

Hidden-action problems arise when two parties wish to transact, but one party’s unobservable actions can impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome. The classic example is insurance, where a policyholder may behave recklessly without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance company observing this...

[W]hy do so many vulnerabilities exist in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place? A useful analogy might come from considering large software project failures: it has been known for years that perhaps 30% of large development projects fail, and this figure does not seem to change despite improvements in tools and training: people just built much bigger disasters nowadays than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. This suggests that project failure is not fundamentally about technical risk but about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surrounding socio-economic factors (a point to which we will return later).

Similarly, when considering security, software writers have better tools and training than ten years ago, and are capable of creating more secure software, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software industry provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with little incentive to do so.

In many markets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitude of ‘ship it Tuesday and get it right by version 3’ is perfectly rational behaviour. Many software markets have dominant firms thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combination of high fixed and low marginal costs, network externalities and client lock-in noted above, so winning market races is all-important. In such races, competitors must appeal to complementers, such as application developers, for whom security gets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way; and security tends to be a lemons market anyway. So platform vendors start off with too little security, and such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide tends to be designed so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compliance costs are dumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end users. Once a dominant position has been established, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor may add more security than is needed, but engineered in such a way as to maximise customer lock-in.

In some cases, security is even worse than a lemons market: even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor does not know how secure its software is. So buyers have no reason to pay more for protection, and vendors are disinclined to invest in it.

How can this be tackled? Economics has suggested two novel approaches to software security metrics: vulnerability markets and insurance...

Several variations on vulnerability markets have been proposed. Bohme has argued that software derivatives might be better. Contracts for software would be issued in pairs: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pays a fixed value if no vulnerability is found in a program by a specific date, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pays anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r value if one is found. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contracts can be traded, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir price should reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consensus on software quality. Software vendors, software company investors, and insurance companies could use such derivatives to hedge risks. A third possibility, due to Ozment, is to design a vulnerability market as an auction...

An alternative approach is insurance. Underwriters often use expert assessors to look at a client firm’s IT infrastructure and management; this provides data to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insured and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run, insurers learn to value risks more accurately. Right now, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber-insurance market is both underdeveloped and underutilised. One reason, according to Bohme and Kataria, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdependence of risk, which takes both local and global forms. Firms’ IT infrastructure is connected to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r entities – so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts may be undermined by failures elsewhere.

Cyber-attacks often exploit a vulnerability in a program used by many firms. Interdependence can make some cyber-risks unattractive to insurers – particularly those risks that are globally racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than locally correlated, such as worm and virus attacks, and systemic risks such as Y2K.

Many writers have called for software risks to be transferred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors; but if this were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, it is unlikely that Microsoft would be able to buy insurance. So far, vendors have succeeded in dumping most software risks; but this outcome is also far from being socially optimal. Even at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of customer firms, correlated risk makes firms under-invest in both security technology and cyber-insurance. Cyber-insurance markets may in any case lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume and liquidity to become efficient.
(emphasis added)

If you made it this far, here's my small contribution to this paper: what about breach derivatives? To paraphrase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, contracts for companies would be issued in pairs: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pays a fixed value if no breach is reported by a company by a specific date, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pays anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r value if one is reported. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contracts can be traded, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir price should reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consensus on company security.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incentives for companies to stay quiet about breaches, but this market could encourage people to report. I imagine it could also encourage intruders to compromise a company intentionally, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention:

One criticism of all market-based approaches is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of identified vulnerabilities by motivating more people to search for flaws.

What do you think?

3 comments:

Anonymous said...

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 papers delivered at WEIS in Minneapolis in 2004 spoke to your derivatives question (http://www.dtc.umn.edu/weis2004/adkins.pdf)
I confess to finding it challenging to follow (Barbie and I have a similar aptitude for math, if not fashion), but clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea is one which is at least potentially sensible.

Unknown said...

I summed this argument up in my blog a while back. I call it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plastic Swimming Pool Theory of Security - "When one person pisses in a swimming pool it affects everyone"

I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory which points out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. I don't have a solution though. I don't think that a "carbon credits" copy would work. It would be too difficult and time consuming to work out what patches a person is missing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to try get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir banking details so you can charge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m maybe 28c or $1.26.

One way this could be handled nicely is if ISPs had IPSs that would block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers' network access if strange traffic was detected. This would have to be handled very delicately.

Anonymous said...

You'd have to account for unethical programmers gaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, i.e. 1. develop software with deliberately added vulnerabilities, 2. report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m through someone else, 3. Profit.