Шведская компания WSLabi объявила об открытии необычного интернет-аукциона,
основным товаром которого стали уязвимости, найденные "продавцами" в программном
обеспечении. По словам организаторов аукциона, новая площадка, получившая
название WabiSabiLabi, представляет собой классический аукцион со всеми
правилами. WabiSabiLabi представляет собой независимую шведскую лабораторию
по тестированию программного обеспечения, говорится в пресс-релизе компании.
Разработчики площадки говорят, что покупатели могут быть полностью уверены
в продаваемых уязвимостях, так как перед тем, как попасть на торги они проходят
проверку. В WSLabi говорят, что большинство уязвимостей будут оценены в
500 - 2 000 евро. На сегодня на площадке уже есть 4 уязвимости, включая
и критическую уязвимость в ядре Linux, стартовая цена багов - 500 евро.
"Это идея может очень скоро завершиться. Я слышал о том, что одни хакеры
продают за деньги другим найденные уязвимости в программном обеспечении,
но впервые торговля поставлена официально и в форме аукциона. Уверен, что
судьба аукциона будет не очень радужной - несколько удачных сделок по продаже
уязвимостей и последующих за ними атак и разработчики в корне изменят механизмы
раскрытия уязвимостей" - говорит Джеремая Гроссман, технический директор
компании WhiteHat. В целом, специалисты по компьютерной безопасности отмечают,
что рынок торговли уязвимостями в популярном ПО поставлен на поток. Так,
недавно Лаборатория Касперского обнаружила хакеров, пытавшихся продать за
4 000 долларов нашумевшую уязвимость в Windows WMF. Компания Mozilla также
пытается первой заполучить баги, найденные в ее продуктах - всем нашедшим
уязвимости в ПО Mozilla предлагает по 500 долларов за каждый баг. Сами же
создатели WabiSabiLabi говорят, что они не отвергают идею так называемого
"этического раскрытия", то есть когда нашедший баг в первую очередь сообщает
о нем разработчику. Однако отмечают, что срок жизни багов изменяется неделями,
реже месяцами, поэтому баги - товар "скоропортящийся". По словам представителей
компании McAfee, данный аукцион, определенно плохая идея, так как, во-первых,
он ставит под угрозу безопасность многих тысяч пользователей, во-вторых,
поощряет коммерческий хакинг, то также не способствует здоровым отношениям
в ИТ-сообществе. "В прошлом году было обнародовано лишь 7 000 уязвимостей
в программном обеспечении, однако по разным оценкам фактическое количество
уязвимостей больше в разы - от 100 000 до 150 000 багов. Надеемся, что наша
площадка заставит быть программистов более аккуратными и внимательными"
- говорит исполнительный директор WSLabi Херман Зампариоло.