Шведская компания WSLabi объявила об открытии необычного интернет-аукциона, основным товаром которого стали уязвимости, найденные "продавцами" в программном обеспечении. По словам организаторов аукциона, новая площадка, получившая название WabiSabiLabi, представляет собой классический аукцион со всеми правилами.
WabiSabiLabi представляет собой независимую шведскую лабораторию по тестированию программного обеспечения, говорится в пресс-релизе компании. Разработчики площадки говорят, что покупатели могут быть полностью уверены в продаваемых уязвимостях, так как перед тем как попасть на торги они проходят проверку.
В WSLabi говорят, что большинство уязвимостей будут оценены в 500 - 2 000 евро. На сегодня на площадке уже есть 4 уязвимости, включая и критическую уязвимость в ядре Linux, стартовая цена багов - 500 евро.
"Это идея может очень скоро завершиться. Я слышал о том, что одни хакеры продают за деньги другим найденные уязвимости в программном обеспечении, но впервые торговля поставлена официально и в форме аукциона. Уверен, что судьба аукциона будет не очень радужной - несколько удачных сделок по продаже уязвимостей и последующих за ними атак и разработчики в корне изменят механизмы раскрытия уязвимостей", - говорит Джеремая Гроссман, технический директор компании WhiteHat.
В целом, специалисты по компьютерной безопасности отмечают, что рынок торговли уязвимостями в популярном ПО поставлен на поток. Так, недавно Лаборатория Касперского обнаружила хакеров, пытавшихся продать за 4 000 долларов нашумевшую уязвимость в Windows WMF. Компания Mozilla также пытается первой заполучить баги, найденные в ее продуктах - всем нашедшим уязвимости в ПО Mozilla предлагает по 500 долларов за каждый баг.
Сами же создатели WabiSabiLabi говорят, что они не отвергают идею так называемого "этического раскрытия", то есть когда нашедший баг в первую очередь сообщает о нем разработчику. Однако отмечают, что срок жизни багов изменяется неделями, реже месяцами, поэтому баги - товар "скоропортящийся".
По словам представителей компании McAfee, данный аукцион определенно плохая идея, так как, во-первых, он ставит под угрозу безопасность многих тысяч пользователей, во-вторых, поощряет коммерческий хакинг, что также не способствует здоровым отношениям в ИТ-сообществе.
"В прошлом году было обнародовано лишь 7 000 уязвимостей в программном обеспечении, однако по разным оценкам фактическое количество уязвимостей больше в разы - от 100 000 до 150 000 багов. Надеемся, что наша площадка заставит быть программистов более аккуратными и внимательными", - говорит исполнительный директор WSLabi Херман Зампариоло.