Het opkopen van al deze kwetsbaarheden is dé kans om de cyberoorlog te winnen. Want als zero-days gepatcht en dus waardeloos zijn, kan de vijand ze niet gebruiken. Security-expert Dan Geer houdt zijn pleidooi in een keynote op de Black Hat-conferentie die deze week in Las Vegas wordt gehouden.

Hij ziet kans om de zwarte handel in kritieke kwetsbaarheden in één klap onderuit te halen. "We kopen ze allemaal en maken ze allemaal openbaar", aldus Geer, die zo wil dat alle softwareleveranciers direct kunnen patchen.

10x zoveel betalen

Daarvoor moet de Amerikaanse overheid wel diep in de buidel tasten. Geer stelt voor dat zijn overheid de huidige vraagprijs grofweg tienmaal overbiedt. Het probleem dat er verkopers zijn die geen zaken willen doen met de VS lost zichzelf op in zijn ogen. Gevonden zero-days hebben namelijk allemaal een houdbaarheidsdatum, die bovendien steeds sneller dichterbij komt door de huidige automatisering bij het vinden lekken. Uiteindelijk verkoopt er dus altijd wel iemand aan de VS, denkt hij.

Geer ziet nog twee gunstige neveneffecten. Ten eerste groeit dankzij het te veel betalen het aantal getalenteerde vinders van zero-days. Daarnaast zal het openbaar maken ervoor zorgen dat een zero-day flink gedevalueerd wordt en daarmee minder bruikbaar voor de vijand in een cyberoorlog. Zero-days zijn tegenwoordig immers dé manier om te spioneren en schade aan te richten.

Hoeveel zijn er?

Onduidelijk is echter hoeveel zero-days er precies zijn, weet ook Geer. Maar hij is ervan overtuigd dat het aantal schaars genoeg is en dus is zijn theorie om de markt open te breken "de goedkoopste manier om te winnen".

Dan Geer is CISO bij een nonprofit-organisatie die investeert in technologie om de Amerikaanse inlichtingensector te ondersteunen. In de jaren 80 werkte hij bij MIT mee aan het ontwerp van het authenticatieprotocol en later was hij hoofd van Usenix.