一個(gè)類似eBay的拍賣漏洞網(wǎng)站的出現(xiàn)，可以讓研究人員把他們發(fā)現(xiàn)的漏洞以合理的價(jià)格賣出，該網(wǎng)站的建立者說道。
目前存在的商業(yè)模式在給漏洞研究人員回報(bào)的方面是失敗的，WSLabi網(wǎng)站的首席執(zhí)行官Herman Zampariolo說道。Herman Zampariolo正是該漏洞拍賣網(wǎng)站的創(chuàng)始人。他說，目前只有小部分的漏洞已經(jīng)打了補(bǔ)丁，因?yàn)镮T專家們即使公布了他們發(fā)現(xiàn)的漏洞，也無法得到任何經(jīng)濟(jì)回報(bào)。正如消防人員如果拿不到薪水，火災(zāi)就沒那么容易被撲滅一樣。
“只要漏洞仍然在私下里進(jìn)行買賣，那么它的價(jià)格就不會(huì)確定�！� Zampariolo說道，“我們的目標(biāo)就是建立一個(gè)平臺(tái)WSLabi，讓安全研究人員能夠把他們發(fā)現(xiàn)的漏洞賣上個(gè)合理的價(jià)格，這樣他們就不用再免費(fèi)的公布，或者私下里賣給進(jìn)行網(wǎng)絡(luò)犯罪的人員”。因?yàn)樵诠�共的平臺(tái)上拍賣后，產(chǎn)品出現(xiàn)漏洞的廠商或者相關(guān)政府部門，可能會(huì)主動(dòng)購買下漏洞，以避免漏洞造成危害，廠商也可以及時(shí)更新補(bǔ)丁。
目前這個(gè)站點(diǎn)上正在拍賣的漏洞及其利用代碼有：一個(gè)Yahoo Messenger的緩沖區(qū)溢出漏洞，一個(gè)Linux內(nèi)核內(nèi)存泄漏漏洞和一個(gè)針對MKPortal和SquirreMail的SQL注入漏洞等等。
盡管安全研究人員在去年共公布了7000多個(gè)漏洞，但是據(jù)估計(jì)，實(shí)際發(fā)現(xiàn)的漏洞數(shù)目已經(jīng)超過了100000個(gè)，這個(gè)數(shù)字援引于Gunter Ollmann的分析，他曾工作于ISS安全公司，現(xiàn)任IBM安全顧問。
漏洞市場的這種現(xiàn)狀，讓原意大利網(wǎng)絡(luò)公司iLight的首席執(zhí)行官Zampariolo下定決心，自己投資創(chuàng)業(yè)建立了WabiSabiLabi這個(gè)網(wǎng)站。這個(gè)網(wǎng)站的交易流程很嚴(yán)格，漏洞購買者需要向WabiSabiLabi網(wǎng)站通過傳真或者信件方式提供身份證明和他們的銀行賬戶。出于安全性考慮，交易不允許使用電子銀行。目前，已經(jīng)有很多漏洞購買者和漏洞出售者在網(wǎng)站上注冊。下周將會(huì)有更多的待售漏洞發(fā)布在網(wǎng)站上。
Zampariolo說道，現(xiàn)在越來越多的漏洞在網(wǎng)站提交，要求出售，WabiSabiLabi網(wǎng)站的工程師們正加班加點(diǎn)驗(yàn)證漏洞的真實(shí)性。
漏洞購買者可以使用昵稱進(jìn)行匿名交易，但是WSLabi網(wǎng)站知道他們的身份。任何一個(gè)漏洞要想在網(wǎng)站上出售，攻擊代碼必須公布給WSLabi，這樣WSLabi可以對漏洞的真實(shí)性進(jìn)行驗(yàn)證，從而對漏洞購買者負(fù)責(zé)。
WSLab的交易平臺(tái)可以免費(fèi)使用六個(gè)月。六個(gè)月之后，買賣雙方在交易成功后，要向網(wǎng)站支付10%的費(fèi)用，網(wǎng)站更大的收入來源則是他們可以把這些漏洞信息出售給第三方組織，建立漏洞信息知識(shí)庫。這筆銷售所得由WSLab站點(diǎn)和漏洞的發(fā)現(xiàn)者即出售者來分成。Zampa riolo希望通過這種服務(wù)模式，可以讓眾多軟件公司不必再花錢運(yùn)營自己的安全實(shí)驗(yàn)室。
隨著這種運(yùn)行模式的運(yùn)行，安全公司的利益會(huì)大大受到?jīng)_擊。目前WabiSabiLabi尚答應(yīng)把收益和安全公司分成，但是當(dāng)WabiSabiLabi做大后，像iDefnse，ISS這樣的安全公司利益必定大大受損。
這種商業(yè)模式的出現(xiàn)，引起了一些批評之聲，趨勢科技的教育執(zhí)行官David Perry說道，一個(gè)專賣漏洞的eBay出現(xiàn)了，但是當(dāng)我們這樣做時(shí)，如何道哪些是好人，哪些是壞人呢？
WSLabi這個(gè)站點(diǎn)有五百萬歐元的經(jīng)濟(jì)支持，這筆資金來自個(gè)人投資，網(wǎng)站的建立者希望18個(gè)月后，網(wǎng)站能夠成功上市。

標(biāo)簽： linux 安全 代碼 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。