Шведская компания WSLabi объявила об открытии необычного интернет-аукциона, основным товаром которого стали уязвимости, найденные “продавцами” в программном обеспечении. По словам организаторов аукциона, новая площадка, получившая название WabiSabiLabi, представляет собой классический аукцион со всеми правилами.
WabiSabiLabi представляет собой независимую шведскую лабораторию по тестированию программного обеспечения, говорится в пресс-релизе компании. Разработчики площадки говорят, что покупатели могут быть полностью уверены в продаваемых уязвимостях, так как перед тем как попасть на торги они проходят проверку.
В WSLabi говорят, что большинство уязвимостей будут оценены в 500 – 2 000 евро. На сегодня на площадке уже есть 4 уязвимости, включая и критическую уязвимость в ядре Linux, стартовая цена багов – 500 евро.
“Это идея может очень скоро завершиться. Я слышал о том, что одни хакеры продают за деньги другим найденные уязвимости в программном обеспечении, но впервые торговля поставлена официально и в форме аукциона. Уверен, что судьба аукциона будет не очень радужной – несколько удачных сделок по продаже уязвимостей и последующих за ними атак и разработчики в корне изменят механизмы раскрытия уязвимостей”, – говорит Джеремая Гроссман, технический директор компании WhiteHat.
В целом, специалисты по компьютерной безопасности отмечают, что рынок торговли уязвимостями в популярном ПО поставлен на поток. Так, недавно Лаборатория Касперского обнаружила хакеров, пытавшихся продать за 4 000 долларов нашумевшую уязвимость в Windows WMF. Компания Mozilla также пытается первой заполучить баги, найденные в ее продуктах – всем нашедшим уязвимости в ПО Mozilla предлагает по 500 долларов за каждый баг.
Сами же создатели WabiSabiLabi говорят, что они не отвергают идею так называемого “этического раскрытия”, то есть когда нашедший баг в первую очередь сообщает о нем разработчику. Однако отмечают, что срок жизни багов изменяется неделями, реже месяцами, поэтому баги – товар “скоропортящийся”.
По словам представителей компании McAfee, данный аукцион определенно плохая идея, так как, во-первых, он ставит под угрозу безопасность многих тысяч пользователей, во-вторых, поощряет коммерческий хакинг, что также не способствует здоровым отношениям в ИТ-сообществе.
“В прошлом году было обнародовано лишь 7 000 уязвимостей в программном обеспечении, однако по разным оценкам фактическое количество уязвимостей больше в разы – от 100 000 до 150 000 багов. Надеемся, что наша площадка заставит быть программистов более аккуратными и внимательными”, – говорит исполнительный директор WSLabi Херман Зампариоло.
