Обновлено: WabiSabiLabi: открыто торгуем уязвимостями
В Интернете открылся новый онлайн-аукцион, отличительной особенностью которого является категория продаваемого товара. Здесь покупаются и продаются компьютерные уязвимости безопасности. Портал называется WabiSabiLabi и создан с целью стимулировать исследователей к активной деятельности, так как нынешние методы, по мнению создателей портала, не приносят ощутимого эффекта. Руководит новым проектом компания WSLabi. Как считает WSLabi, появление онлайн-аукциона положит конец практике, когда исследователи либо продавали данные о раскрытых уязвимостях преступникам, либо просто выкладывали их в свободном доступе.
За 2006 год всего было раскрыто около 7000 уязвимостей. Однако WSLabi считает, что при должном вознаграждении дополнительно могли быть раскрыты еще около 132000 ошибок. На данный момент на онлайн-аукционе продаются четыре уязвимости, цены начинаются от $700. Следует отметить, что покупатели застрахованы от приобретения ложных уязвимостей или уязвимостей, уже опубликованных раскрытых ранее. Перед размещением каждого аукциона WSLabi проводит тестирование в независимой лаборатории и только после этого размещает сообщение о продаже. Первые шесть месяцев портал не будет взимать с покупателей и продавцов никакой платы. Далее будет введена комиссия в размере 10% сделки с обеих сторон.
Обновление:
Первой на появление аукциона уязвимостей откликнулась Microsoft. Компания заявила, что не собирается ни при каких обстоятельствах покупать данные об уязвимостях в ее продуктах. По мнению компании, созданный онлайн-аукцион – не более чем "цивилизованная" форма публичного раскрытия непропатченных ошибок. Microsoft настаивает, что едиственно правильный путь – так называемая модель "ethical disclosure", означающая непосредственную связь между исследователем, раскрывшим уязвимость и компанией, которой сведения будут бесплатно переданы. WabiSabiLabi же утверждает, что такой способ просто эксплуатирует труд независимых исследователей.
© TechLabs