【原创翻译,版权所有,如欲转载,请注明原创翻译作者,及文章出处(赛迪网)。违者,赛迪网将保留追究其法律责任的权利!】
一个类似eBay的拍卖漏洞网站的出现,可以让研究人员把他们发现的漏洞以合理的价格卖出,该网站的建立者说道。
目前存在的商业模式在给漏洞研究人员回报的方面是失败的,WSLabi网站的首席执行官Herman Zampariolo说道。Herman Zampariolo正是该漏洞拍卖网站的创始人。他说,目前只有小部分的漏洞已经打了补丁,因为IT专家们即使公布了他们发现的漏洞,也无法得到任何经济回报。正如消防人员如果拿不到薪水,火灾就没那么容易被扑灭一样。
“只要漏洞仍然在私下里进行买卖,那么它的价格就不会确定。” Zampariolo说道,“我们的目标就是建立一个平台WSLabi,让安全研究人员能够把他们发现的漏洞卖上个合理的价格,这样他们就不用再免费的公布,或者私下里卖给进行网络犯罪的人员”。因为在公共的平台上拍卖后,产品出现漏洞的厂商或者相关政府部门,可能会主动购买下漏洞,以避免漏洞造成危害,厂商也可以及时更新补丁。
目前这个站点上正在拍卖的漏洞及其利用代码有:一个Yahoo Messenger的缓冲区溢出漏洞,一个Linux内核内存泄漏漏洞和一个针对MKPortal和SquirreMail的SQL注入漏洞等等。
尽管安全研究人员在去年共公布了7000多个漏洞,但是据估计,实际发现的漏洞数目已经超过了100000个,这个数字援引于Gunter Ollmann的分析,他曾工作于ISS安全公司,现任IBM安全顾问。
漏洞市场的这种现状,让原意大利网络公司iLight的首席执行官Zampariolo下定决心,自己投资创业建立了WabiSabiLabi这个网站。这个网站的交易流程很严格,漏洞购买者需要向WabiSabiLabi网站通过传真或者信件方式提供身份证明和他们的银行账户。出于安全性考虑,交易不允许使用电子银行。目前,已经有很多漏洞购买者和漏洞出售者在网站上注册。下周将会有更多的待售漏洞发布在网站上。
Zampariolo说道,现在越来越多的漏洞在网站提交,要求出售,WabiSabiLabi网站的工程师们正加班加点验证漏洞的真实性。
漏洞购买者可以使用昵称进行匿名交易,但是WSLabi网站知道他们的身份。任何一个漏洞要想在网站上出售,攻击代码必须公布给WSLabi,这样WSLabi可以对漏洞的真实性进行验证,从而对漏洞购买者负责。
WSLab的交易平台可以免费使用六个月。六个月之后,买卖双方在交易成功后,要向网站支付10%的费用,网站更大的收入来源则是他们可以把这些漏洞信息出售给第三方组织,建立漏洞信息知识库。这笔销售所得由WSLab站点和漏洞的发现者即出售者来分成。Zampa riolo希望通过这种服务模式,可以让众多软件公司不必再花钱运营自己的安全实验室。
随着这种运行模式的运行,安全公司的利益会大大受到冲击。目前WabiSabiLabi尚答应把收益和安全公司分成,但是当WabiSabiLabi做大后,像iDefnse,ISS这样的安全公司利益必定大大受损。
这种商业模式的出现,引起了一些批评之声,趋势科技的教育执行官David Perry说道,一个专卖漏洞的eBay出现了,但是当我们这样做时,如何道哪些是好人,哪些是坏人呢?
WSLabi这个站点有五百万欧元的经济支持,这笔资金来自个人投资,网站的建立者希望18个月后,网站能够成功上市。(责任编辑:李磊)
=============================================
【参考文章】
Peter《Auction site sells security exploits》
